ESET, Çin bağlantılı siber casusluk grubu The Wizards tarafından AITM saldırıları yapmak ve Wizardnet arka kapılarını manipüle edilmiş yazılım güncellemeleri aracılığıyla yaymak için kullanılan yeni bir araç olan Spellbinder’ı keşfetti.
En az 2022’den beri Çin ile bağlantılı ve aktif olan sofistike bir siber casusluk operasyonu ESET’teki güvenlik araştırmacıları tarafından ortaya çıkmıştır. ESET tarafından TheWizards olarak adlandırılan grup, bilgisayar ağlarına sızmak için yenilikçi yöntemiyle öne çıkıyor. Bildirildiğine göre, ESET tarafından WizardNet adlı sofistike bir arka kapı dublajı sunmak için ortada düşman (AITM) saldırıları yapmak için Spellbinder adlı özel bir araç kullanıyor.
ESET’in son blog yazısında ayrıntılı olarak açıklanan derinlemesine analizi, Spellbinder’ın IPv6 SLAAC (Vatansız Adres Otokonfigürasyon) ile ağ trafiğini manipüle ettiğini ve meşru Çin yazılım güncellemelerini etkili bir şekilde ele geçirdiğini ve bunları WizardNet sunmak için saldırgan kontrollü sunuculara yönlendirdiğini ortaya koyuyor.
Wizardnet, uzak bir C2 sunucusundan daha fazla kötü amaçlı modül alabilen ve yürütebilen sofistike, modüler bir arka kapıdır. Bu, The Wizards’ın tehlikeye atılan sistemlerde çok çeşitli kötü amaçlı etkinlikler gerçekleştirmesini sağlar.
Bildirildiğine göre, ilk erişim elde ettikten sonra, saldırganlar, yan yükleme adı verilen bir süreçle, sonuçta Spellbinder’ın kötü amaçlı kodunu yürüten belirli bir arşiv kullanıyor. 2022 analizinden bu yana gelişen Spellbinder, hazırlanmış ICMPV6 yönlendirici reklamı (RA) mesajları göndererek paketleri yakalamak ve IPv6’nın ağ keşif protokolünü kullanmak için WINPCAP kullanıyor. T
Hileleri, saldırganın makinesini ağ geçidi olarak kullanmaya kuruyor ve trafik müdahalesini sağlıyor. Daha sonra Tencent, Baidu ve Xiaomi gibi hedeflenen Çin platformları için DNS sorgularını izler, sahte DNS yanıtları üretir ve kurbanları saldırgan kontrollü IP’lere yönlendirir (örn., 43.155.1167 in 2022, 43.155.6254 in 2024) kötü amaçlı güncellemeler sunmak.
Dikkate değer bir örnek, 2024 yılında SpellBinder tarafından Tencent QQ yazılımı için meşru güncelleme isteklerini ele geçirmeyi ve yazılımı saldırganın sunucusundan kötü niyetli bir arşiv indirmeye yönlendirdi. Bu arşiv, yürütüldükten sonra Wizardnet arka kapısını kuran zararlı bir bileşen içeriyordu.
ESET’in telemetrisi, The Wizards’ın Filipinler, Kamboçya, Birleşik Arap Emirlikleri, Anakara Çin ve Hong Kong’daki varlıkları aktif olarak hedeflediğini göstermektedir. Hedefler bireylerden kumar şirketlerine ve şu anda bilinmeyen diğer kuruluşlara kadar uzanmaktadır.
İlk keşif, WizardNet’i indiren Sogou Pinyin’i (yaygın olarak kullanılan bir Çin giriş yöntemi yazılımı) içeriyordu. Bu, Sogou Pinyin’in güncelleme sürecini hedefleyen bir istismar modeli izler. Ocak 2024’te ESET tarafından ayrıntılı olarak açıklandığı gibi, hack grubu Blackwood bu yöntemi NSPX30 adlı bir implant dağıtmak için kullandı.
Ayrıca, 2025’in başlarında, Slovak siber güvenlik firması, Plushdaemon olarak bilinen Littledaemon adlı özel bir indiriciyi dağıtmak için aynı tekniği de kullanan başka bir tehdit grubunu ortaya çıkardı.
Raporlarında ayrıntılı olarak açıklandığı gibi, araştırmacılar, Android kötü amaçlı yazılım Darknights’ın (Darknimbus) analizi yoluyla The Wizards ve Çinli bir şirket Sichuan Dianke Network Güvenlik Teknolojisi (UPSEC) arasında potansiyel bağlantıları gözlemlediler.
Wizards’ın öncelikle Windows’ta WizardNet kullanmasına rağmen, altyapıları Darknights’a Android Tencent QQ için kötü niyetli bir güncelleme olarak hizmet etti.
Güvenilir güncelleme mekanizmalarının bu tür sofistike manipülasyonu, devlete uyumlu siber casusluktan kalıcı ve gelişen tehdidi ve güvenlik önlemlerini iyileştirme ve bu tehditlere karşı dikkatli olma ihtiyacını vurgulamaktadır.