SAP Netweaver’daki kritik bir güvenlik kusurunun son zamanlarda sömürülmesinin arkasındaki Çin bağlantılı tehdit oyuncusu, 2023’ten beri Brezilya, Hindistan ve Güneydoğu Asya’daki organizasyonları hedefleyen daha geniş bir saldırılara atfedildi.
Trend Micro Güvenlik Araştırmacısı Joseph C Chen, bu hafta yayınlanan bir analizde, “Tehdit oyuncusu, web uygulamalarında hedeflenen kuruluşların SQL sunucularına erişmek için web uygulamalarında keşfedilen SQL enjeksiyon güvenlik açıklarını hedefliyor.” Dedi. “Aktör ayrıca, kamuoyuna dönük sunuculardan yararlanmak için bilinen çeşitli güvenlik açıklarından da yararlanıyor.”
Çatışma kolektifinin diğer önde gelen hedeflerinden bazıları Endonezya, Malezya, Filipinler, Tayland ve Vietnam’dır.
Siber güvenlik şirketi, takma adın altındaki etkinliği izliyor Toprak lamyaetkinliğin, elastik güvenlik laboratuvarları tarafından REF0657 olarak belgelenen tehdit kümeleriyle bir dereceye kadar örtüşme, STAC6451 olarak Sophos ve CL-STA-0048 olarak Palo Alto Networks birimi 42 ile bir dereceye kadar örtüşme paylaşmaktadır.
Bu saldırıların her biri, Güney Asya’daki birden fazla sektörü kapsayan organizasyonları hedef aldı ve genellikle internete maruz kalan Microsoft SQL sunucularından ve diğer örneklerden keşif yapmak, kobalt grev ve süperçel gibi sömürü sonrası araçlar kullanıyor ve Rakshasa ve teneffüs kullanan kurban ağlarına proxy tünelleri oluşturuyor.
Ayrıca Godpotato ve Juicypotato gibi ayrıcalık yükseltme araçları; FSCAN ve KSCAN gibi ağ tarama yardımcı programları; ve Windows uygulamasını, sistemini ve güvenlik olay günlüklerini temizlemek için wevtutil.exe gibi meşru programlar.
Hintli varlıklara yönelik seçkin müdahaleler de, çabalar büyük ölçüde başarısız olmasına rağmen, kurban dosyalarını şifrelemek için mimik fidye yazılımı ikili dosyalarını dağıtmaya çalıştı.
Sophos, “Aktörler, gözlemlenen tüm olaylarda mimik fidye yazılımı ikili dosyalarını sahneledikleri görülürken, fidye yazılımı genellikle başarılı bir şekilde yürütülmedi ve aktörlerin konuşlandırıldıktan sonra ikili dosyaları silmeye çalıştığı görüldü.”
Daha sonra bu ayın başlarında, Eclecticiq, CL-STA-0048’in CVE-2025-31324’ten yararlanmak için birçok Çin-Nexus siber casusluk gruplarından biri olduğunu açıkladı, bu da kritik bir kimlik doğrulanmamış dosya, SAP netWeaver’da kontrolü altında altyapıya ters bir kabuk oluşturmak için güvenlik açığı.
CVE-2025-31324 dışında, hackleme ekibinin kamuya açık sunucuları ihlal etmek için sekiz kadar farklı güvenlik açığı silahlandırdığı söyleniyor-
Bunu “son derece aktif” olarak tanımlayan trend Micro, tehdit oyuncusunun odağını finansal hizmetlerden lojistik ve çevrimiçi perakendecilere ve son zamanlarda BT şirketlerine, üniversitelere ve devlet kuruluşlarına kaydırdığını belirtti.
Şirket, “2024’ün başlarında ve daha önce, hedeflerinin çoğunun finans endüstrisinde, özellikle menkul kıymetler ve aracılıklarla ilgili kuruluşlar olduğunu gözlemledik.” Dedi. Diyerek şöyle devam etti: “2024’ün ikinci yarısında, hedeflerini çoğunlukla lojistik ve çevrimiçi perakende endüstrilerindeki kuruluşlara kaydırdılar. Son zamanlarda, hedeflerinin tekrar BT şirketlerine, üniversitelere ve devlet kuruluşlarına geçtiğini fark ettik.”
Earth Lamia tarafından benimsenen dikkate değer bir teknik, Çin hack grupları tarafından yaygın olarak benimsenen bir yaklaşım olan DLL yan yükleme yoluyla pulsepack gibi özel arka kapılarını piyasaya sürmektir. Modüler .NET tabanlı bir implant olan PulsePack, işlevlerini yerine getirmek için çeşitli eklentileri almak için uzak bir sunucu ile iletişim kurar.
Trend Micro, Mart 2025’te, komut ve kontrol (C2) iletişim yöntemini TCP’den WebSocket’e değiştiren ve kötü amaçlı yazılımların aktif olarak devam eden gelişimini gösteren güncellenmiş bir sürümünü gözlemlediğini söyledi.
“Earth Lamia operasyonlarını birden fazla ülke ve sektörde agresif niyetleri yürütüyor.” “Aynı zamanda, tehdit oyuncusu özel hack araçları ve yeni arka kapılar geliştirerek saldırı taktiklerini sürekli olarak geliştiriyor.”