Çin hizalanmış TA415 hackerları, ABD hükümeti, akademik ve düşünce kuruluşu varlıklarını hedefleyen sürekli bir casusluk kampanyasında gizli komut ve kontrol (C2) kanalları olarak Google tabakalarını ve Google takvimini benimsedi.
Kötü niyetli operasyonları güvenilir bulut hizmetlerine harmanlayarak, TA415, ABD -Çin ekonomi politikası tartışmalarının gelişmesi için zeka tespitinden ve hasattan kaçınmayı amaçlamaktadır.
Temmuz ve Ağustos 2025 boyunca TA415, ABD -Çin ilişkileri, ticaret ve ekonomik politikaya odaklanan bireylere ve kuruluşlara yönelik bir dizi Spearphishing kampanyasını düzenledi.
Amerika Birleşik Devletleri ve ÇKP arasındaki Stratejik Rekabet Seçme Komitesi Başkanına ve ABD-Çin İş Konseyi’ne ait olan sahte e-posta adreslerini kullanan saldırganlar, “kapalı kapı brifinglerine” hedefleri davet etti ve taslak yaptırım mevzuatı hakkında geri bildirimler talep etti.
E-postalar, Zoho Workdrive, Dropbox ve OpenDrive gibi bulut paylaşım platformlarında barındırılan şifre korumalı arşivlere bağlantılar içeriyordu.
E -posta başlıklarının analizi, Grubun menşe maskesi için anonimleştirme tekniklerinin kullanımının altını çizen Cloudflare Warp VPN hizmeti aracılığıyla teslimatı ortaya çıkardı.
Bir hedef arşive eriştikten sonra, MacOS adlı gizli bir alt klasör, bir toplu komut dosyası, logon.bat yürüten ve yozlaşmış bir PDF dekoyu görüntüleyen kötü amaçlı bir Microsoft kısayolu (LNK) dosyası barındırdı.
Komut dosyası, GoogleUpdate veya Microsofthealthcaremonitornode gibi iyi huylu adlar altında planlanmış bir görevi uygulayarak kalıcı bir dayanak kuran bir python yükleyici başlattı.
C2 için meşru bulut hizmetleri
TA415, özel kötü amaçlı yazılımlara güvenmek yerine, ağ anormalliklerini azaltmak için meşru bulut uygulamalarını benimsedi.
Proofpoint ve diğer güvenlik araştırmacıları, TA415’in birincil amacının ABD ekonomi politikası müzakereleri, yaptırım planlaması ve yasama yörüngeleri için istihbarat toplamak olduğunu ele almıştır.
Whirlcoil Loader, Microsoft’un sunucularından Resmi VS Kod Komut Satırı Arabirimini (CLI) indirir. %LOCALAPPDATA%\Microsoft\VSCodeve GitHub kimlik bilgileri aracılığıyla bir vs kodu uzaktan tüneli doğrular.
Bu tünel, saldırgana Visual Studio Terminali aracılığıyla kabuk düzeyinde erişim sağlar ve geleneksel bir işaretleme olmadan keyfi komut yürütme ve veri açığa çıkmasını sağlar.
Ek artıklık için TA415, Google sayfalarında ve takvim etkinliklerinde operasyonel talimatları ve söndürülmüş sistem bilgilerini sakladı.
Kodlanmış yük işaretleyicilerini elektronik tablolara yazarak ve zaman damgaları ve temel kodlu ana bilgisayar verileri içeren etkinlik girişlerini planlayarak, grup C2 trafiğini rutin bulut API çağrılarıyla harmanladı.
Windows sürümü, yerel, bilgisayar adı ve kullanıcı dizinleri de dahil olmak üzere pessfiltrated meta veriler, zaman damgalarını temel 64 kodlu ana bilgisayar adlarıyla birleştiren dosya adları altında ücretsiz istek loging hizmetlerine gönderilir.
Bu çok vektör yaklaşımı, bir kanal bozulmuş olsa bile saldırganların iletişimi sürdürmesine yardımcı olur.
Bağlam ve Motivasyonlar
Bu faaliyet, ABD-Çin ticaret ilişkileri ve ekonomik işbirliği üzerindeki yüksek riskli müzakerelerle çakışıyor. ABD iddianameleri TA415’i (APT41, Pirinç Typhoon ve Wicked Panda olarak da izlendi) Chengdu’dan Chengdu 404 Ağ Teknolojisi adı altında faaliyet gösteren sivil yüklenici grubu olarak.
TA415’in Google sayfalarının, Google Takvim ve Kod Uzaktan Tünellerinin yenilikçi kullanımı, saldırganların sürekli tehdit odaklı bulut güvenliği önlemlerine olan ihtiyacı vurgulayarak geleneksel savunmalardan kaçan teknikler üzerinde tekrarlamaya devam edeceğini gösteriyor.
Çin Devlet Güvenliği Bakanlığı ile tarihsel bağlar ve Voldemort Backdoor’un önceden konuşlandırılması grubun casusluk yetkisinin altını çiziyor.
Voldemort’tan VS Kodu uzak tünellerine ve bulut-doğal C2’ye kaymak, Çin devletine uyumlu tehdit oyuncusu Tradecraft’taki bir evrimi yansıtır ve gizli ve operasyonel esnekliği önceliklendirir.
Grup, Ticaret ve Yaptırımlar konusunda uzmanlaşmış düşünce tanklarını, akademik kurumları ve hükümet organlarını hedefleyerek ÇKP karar verme ve stratejik rekabet taktiklerini bilgilendirmek için zamanında bilgiler arar.
C2 için yaygın olarak kullanılan verimlilik hizmetlerinin benimsenmesi, gelişmiş tehdit aktörleri arasında meşru bulut platformlarından yararlanmak için büyüyen bir eğilimi vurgulamaktadır.
Geleneksel ağ tabanlı savunmalar, google hizmetlerine yönelik iyi huylu ve kötü niyetli API çağrıları arasında ayrım yapmak için mücadele edebilir, bu da tespit ve yanıt çabalarını karmaşıklaştırır.
Güvenlik ekipleri, bulut ortamlarında davranış tabanlı analitik ve anomali algılama ile ağ izlemeyi artırmalıdır.
Özellikle, atipik takvim olay yüklerinin ve şüpheli elektronik tablo değişikliklerinin izlenmesi, bu tür gizli işlemlerin ortaya çıkmasına yardımcı olabilir.
Washington ve Pekin arasındaki jeopolitik gerginlikler devam ettikçe, ABD-Çin ekonomik ve politika araştırmaları ile uğraşan kuruluşlar yüksek değerli casusluk hedefleri olmaya devam etmektedir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.