Çin devlet destekli tehdit oyuncusu TA415, ABD hükümetini, düşünce kuruluşlarını ve akademik organizasyonları hedefleyen son kampanyalarda Google Sheets ve Google Calendar gibi meşru bulut hizmetlerinden yararlanarak taktiklerini, tekniklerini ve prosedürlerini geliştirdi.
Temmuz ve Ağustos 2025 boyunca, bu sofistike grup, ABD ve Çin Komünist Partisi arasındaki stratejik rekabet komitesinin mevcut başkanı da dahil olmak üzere önde gelen figürler olarak maskelenen ABD-Çin ekonomik temalı yemleri kullanarak spearfishing operasyonları yürüttü.
APT41, pirinç tayfun ve Wicked Panda olarak da bilinen TA415, geleneksel kötü amaçlı yazılım dağıtım mekanizmalarını meşru geliştirme araçları lehine terk ederek devlet destekli siber operasyonlarda önemli bir değişimi temsil etmektedir.
Grubun en son kampanyaları, komuta ve kontrol altyapısı için sürekli olarak güvenilir hizmetleri kullanmış ve kötü niyetli faaliyetleri normal ağ trafik modelleriyle harmanlamak için kasıtlı bir strateji göstermiştir.
Bu yaklaşım, güvenlik araçlarının meşru iş iletişimi ile çekişmeli komut kanalları arasında ayrım yapması gerektiğinden tespit çabalarını önemli ölçüde karmaşıklaştırmaktadır.
Proofpoint araştırmacıları, TA415’in son operasyonlarının öncelikle ABD-Çin ekonomik ilişkilerinin yörüngesi, daha geniş jeopolitik gerilimler ve devam eden ticaret müzakereleri ile uyumlu istihbarat toplama üzerine odaklandığını belirledi.
Bu kampanyaların zamanlaması, ABD-Tayvan ilişkilerini çevreleyen eleştirel politika tartışmalarına ve Çin’i hedefleyen kapsamlı yaptırımlar çerçeveleri ile çakışıyor ve devlet düzeyinde karar vericilerin hedefli istihbarat gereksinimlerini öneriyor.
Tehdit oyuncunun enfeksiyon metodolojisi, Zoho Workdrive, Dropbox ve OpenDrive gibi bulut paylaşım hizmetleri aracılığıyla şifre korumalı arşivlerin verilmesini içerir.
Bu arşivler, gizlenmiş içinde saklanan gizli bileşenlerin yanı sıra Microsoft kısayol dosyalarını içerir. Macos Alt klasörler.
Grup, e -posta iletimi sırasında gönderen IP adreslerini gizlemek için sürekli olarak Cloudflare Warp VPN hizmetlerini kullanır ve kampanyalarına ek bir operasyonel güvenlik katmanı ekler.
Gelişmiş enfeksiyon zinciri analizi
TA415 enfeksiyon mekanizması, Visual Studio kodu uzak tünelleri dağıtarak meşru geliştirme iş akışlarının sofistike bir şekilde anlaşılmasını göstermektedir.
.webp)
Yürütme üzerine, kötü amaçlı LNK dosyası, daha sonra gömülü bir python paketinden kayma python yükleyicisini başlatan logon.bat adlı bir toplu komut dosyasını tetikler.
Bu yükleyici, statik analiz algılama yöntemlerinden kaçmak için tekrarlanan değişken ve iiilliiiiililiiliii gibi işlev adlarını kullanarak gelişmiş gizleme teknikleri sergiler.
Whirlcoil bileşeni, resmi Microsoft kaynaklarından VSCODE komut satırı arabirimini indirir, %localAppData %\ microsoft \ vscode olarak çıkarır ve GoogleUpdate, GoogleUpDated veya MicrosofthealthCaremonitornode adlı planlanan görevler aracılığıyla kalıcılık oluşturur.
Komut dosyası komutu yürütür code.exe tunnel user login --provider github --name Github onaylı uzaktan tüneller oluşturmak için geleneksel kötü amaçlı yazılım imzaları olmadan kalıcı erişim sağlar.
Sistem bilgi toplama, Windows sürüm bilgileri, yerel ayar ayarları, bilgisayar tanımlama, kullanıcı adı ve etki alanı bilgilerini içerir, bu da RequestRepo.com gibi ücretsiz istek günlüğü hizmetlerine gönderme sonrası isteklerle iletilir.
Pessed edilmiş veriler, VS kod uzak tünel doğrulama kodlarıyla birleşerek, tehdit aktörlerinin uzak oturumları doğrulamasını ve Visual Studio’nun entegre terminal arayüzü aracılığıyla keyfi komutlar yürütmesini sağlar.
Free live webinar on new malware tactics from our analysts! Learn advanced detection techniques -> Register for Free