Citizen laboratuvar araştırmacıları, Çin bağlantılı hackerlar, bir mızrak aktı kampanyasında truva atlı bir uyghureditpp uygulamasını kullanmayı hedeflediler.
Citizen Lab, Uygur aktivistlerine yönelik hedefli bir mızrak kimlik avı kampanyası, meşru bir Uygur dil aracı olarak gizlenmiş gözetim kötü amaçlı yazılımlarını kullanıyor. Saldırı yöntemleri ve şüpheli Çin hükümetinin katılımı hakkında bilgi edinin.
Mart 2025’te, Münih merkezli Uygur halkının haklarını savunan uluslararası bir örgüt olan Uyghur Kongresi (WUC) içindeki birkaç önde gelen figür, dikkatli bir şekilde düzenlenmiş bir siber casusluk girişiminin hedefi haline geldi.
Toronto Üniversitesi Citizen Lab’daki araştırmacılar, bu bireylerin Google’dan uyarı aldığını ve bu da çevrimiçi hesaplarının devlet destekli aktörler tarafından saldırı altında olduğunu gösterdiğini bildiriyor.
Bu kampanyada kullanılan yöntem, e -postaların belirli bireyler için meşru ve güvenilir görünmek için hazırlandığı hedefli bir saldırı biçimi olan Spear Kimlik avıydı. Bu durumda, kötü niyetli e -postalar WUC ortak kuruluşundan bilinen bir temas taklit etti.
Bu e-postalar, tıklanırsa, şifre korumalı bir arşiv dosyasının indirilmesine yol açacak olan Google Drive’a bağlantılar içeriyordu. Bu arşiv uzlaşılmış bir versiyona sahipti. UyghurEditPPözellikle Uygur dili için tasarlanmış gerçek bir açık kaynaklı kelime işleme ve yazım denetim aracı.
Alıcıların bu görünüşte zararsız uygulamanın truva attığı hakkında hiçbir fikri yoktu, yani gizli bir arka kapı içeriyordu. Enfekte Uyghureditpp bir kurbanın bilgisayarında yürütüldükten sonra, bu arka kapı, makine adı, kullanıcı adı, IP adresi, işletim sistemi sürümü ve donanımdan türetilen benzersiz bir karma dahil olmak üzere sistem bilgilerini sessizce toplar. Bu veriler daha sonra bir uzaktan komut ve kontrol (C2) sunucusuna iletildi.
Sunucunun operatörleri daha sonra enfekte cihaza talimatları geri göndererek hedeften dosyaları indirme, ek kötü amaçlı dosyalar yükleme (daha fazla kötü amaçlı yazılım dahil) ve yüklenen eklentiler aracılığıyla komutları yürütme gibi çeşitli kötü amaçlı işlemler gerçekleştirmelerini sağlayabilir.
Citizen Lab’ın kampanyanın altyapısını analiz etmesi iki farklı komuta ve kontrol kümesini ortaya koymaktadır. Haziran 2024 ile Şubat 2025 arasında etkin olan ilk, Uyghureditpp aracının geliştiricisini taklit eden alan adları kullandı (gheyretcom, gheyretnetVe uheyretcom).
İkincisi, WUC’yi Aralık 2024 ve Mart 2025 arasında hedefleyen, Dynu Hizmetleri aracılığıyla kaydedilen alt alanları kullandı, Uygur kelimelerini dahil etti, ancak doğrudan aracı veya geliştiricisine atıfta bulunmadı.
Her iki küme de aynı Microsoft sertifikasını paylaştı ve çeşitli siber tehdit aktörleri tarafından kullanılan bir barındırma sağlayıcısı Choopa LLC’ye ait IP adreslerini kullandı. Bu ikili altyapı, saldırganların değişen taktiklerini veya Uygur topluluğundaki farklı segmentlerin hedeflenmesini gösterir.
Ayrıca, araştırmacılar, kendisi teknolojik olarak gelişmiş olmayan gözetim kötü amaçlı yazılımının dağıtım yönteminde yüksek düzeyde sosyal mühendisliği vurguladılar. Saldırganlar, WUC üyeleri tarafından bilinen Orijinal Uyghureditpp’in orijinal geliştiricisinin güvenini kullanan Uygur topluluğunu derin bir anlayış gösterdiler.
Bu, muhtemelen Mayıs 2024’ten başlayarak oldukça özelleştirilmiş ve hedeflenmiş bir operasyon önermektedir. Kampanya, (PDF) Çin hükümetine bağları içeriyor ve Uygur topluluğuna karşı ulusötesi baskı yürütmek için bilinen çabalarıyla uyuşuyor.