Bir Sentinellabs soruşturması, ipek tayfun olarak da bilinen Çin Gelişmiş Kalıcı Tehdit (APT) Grubu Hafnium ile bağlantılı işletmelerin son derece müdahaleci adli tıp ve veri söndürme yöntemleri için ondan fazla patent sunduğunu ortaya koydu.
Son ABD Adalet Bakanlığı (DOJ) iddianamelerinde adlandırılan firmalar tarafından kayıtlı olan bu patentler, şifreli uç nokta veri toplama, mobil cihaz adli tıp ve yönlendiricilerden ve cihazlardan ağ trafiği müdahalesi dahil olmak üzere saldırgan yetenekleri detaylandırıyor.
Bulgular, Temmuz 2025, Hackerlar Xu Zewei ve Zhang Yu’nun, Çin Devlet Güvenliği Bakanlığı (MSS) tarafından Şangay Powerock Network Company ve Şangay Firetech Bilgi Bilimi ve Teknoloji Şirketi gibi kuruluşlar aracılığıyla faaliyet gösterdiği iddia ediliyor.
Bu ekosistem, özel firmaların devlet aktörlerine özel siber-ihale desteği sağladığı ve tehdit istihbarat alanındaki atıf çabalarını karmaşıklaştırdıkları katmanlı bir sözleşme modelini vurgulamaktadır.
Suçlanan bireyler ve şirketleri, Hafnium’un Microsoft Exchange Server’da (MES) 2021 sıfır gün güvenlik açıklarının sömürülmesi, proxylogon zincirleri aracılığıyla yaygın uzaktan kod yürütme (RCE) ve web köyü dağıtımlarını sağlayan kötü şöhretli kampanyalarla bağlantılıdır.
Sentinellabs analizi, Hafnium’un halka açık olarak belgelenen tradecraft’ın ötesine uzanan Apple FileVault şifreli sistemlerden uzaktan dosya kurtarma için patentli yazılım gibi daha önce bildirilmemiş araçlar ortaya çıkarır.
Şangay Firetech tarafından patentli olan bu yetenek, potansiyel insan zekası (Humint) operasyonlarıyla uyumludur ve fiziksel erişim olmadan macOS uç noktalarından gizli veri toplama sağlar.
Araştırma ayrıca, yönlendirici tabanlı akıllı kanıt toplama ve savunma ekipmanı tersine mühendislik yazılımı için patentleri de tanımlamakta ve uzlaşmış ortamlarda yanal hareket ve kalıcılığı kolaylaştırabilecek gelişmiş ağ saldırısı tekniklerini önermektedir.
Çin’in siber saldırı kenarı
Daha derine inen Şangay Firetech’in fikri mülkiyet başvuruları, çift kullanımlı potansiyele sahip ancak net saldırgan uygulamalara sahip bir dizi araç ortaya çıkarır.
Bunlar arasında gizli veri hasadı için “uzaktan otomatik kanıt toplama yazılımı”, şifreli hacimleri hedefleyen “Apple Bilgisayar Kapsamlı Kanıt Toplama Yazılımı” ve tam disk şifreleme (FDE) mekanizmalarını atlamak için “özel olarak tasarlanmış bilgisayar sabit sürücü şifre çözme yazılımı” yer almaktadır.
Ek patentler, havadan mobil adli tıp sağlayan “uzaktan cep telefonu kanıt toplama yazılımı” ve “Ağ Bilgi Güvenliği Gerçek Çatışma Uygulama Yazılımı” kapsamaktadır.
Akıllı ev cihaz analiz platformları ve uzun menzilli hanehalkı ağ kontrol yazılımı gibi daha yakın tarihli başvurular, Nesnelerin İnterneti (IoT) sömürüsü için yetenekleri gösterir ve potansiyel olarak yüksek değerli hedeflere karşı yakın erişim operasyonlarını destekler.
Şirketin Chongqing iştiraki, stajlar ve ek ofisler de dahil olmak üzere daha büyük ölçekli operasyonların kanıtlarıyla bu ayak izini daha da genişletiyor ve diğer MSS bölgesel bürolarıyla açıklanmayan sözleşmeler hakkında sorular soruyor.
Bu, sızdırılmış iç belgeleri kararsız, taşeron işleri, Firetech’in Şangay Devlet Güvenlik Bürosu (SSSB) ile güvenilir, göreve yönelik ilişkisine karşı kararsız, alt sözleşmeli çalışmaya maruz kalan daha düşük katmanlı yüklenicilerle tezat oluşturuyor.
Sentinellabs, bu patentli teknolojilerin, tehdit oyuncusu izlemesi genellikle kurumsal kuruluşlara veya devlet sponsorlarına bağlanmadan davranışları kümelendirdiğinden, yapılmamış kampanyaları destekleyebileceğini öne sürmektedir.
Küresel Siber Politika Değişikleri
Rapora göre, Hafnium davası, kampanyaların örgütsel yapılardan ziyade taktiklere, tekniklere ve prosedürlere (TTP’ler) dayalı olarak adlandırıldığı mevcut ilişkilendirme modellerindeki eksikliklerin altını çiziyor.
Şifreli verilerin şifresini çözmek veya akıllı ev ağlarını kontrol etmek için olanlar gibi araçlar defansif olarak konuşlandırılabilir, ancak ticari pazarlamanın olmaması, devlete yönelik casuslukta birincil kullanımı önermektedir.
Yin Kecheng ve Zhou Shuai gibi figürlerin önceki iddianamelerine dayanan bu araştırma, MSS’nin özel firmaları ölçeklenebilir saldırgan siber operasyonlar için nasıl kullandığını ve 2021 ortak US-UK-EU açıklamasında PRC siber faaliyetlerini kınayan birleşik uluslararası yanıtları nasıl başlattığını göstermektedir.
Çin propagandasını ve istihbarat koordinasyonunu geliştirirken, bu bulgular kurumsal patentlerin gelişmiş izlenmesi ve devlet destekli APT’leri maskelendirmek için firmalar arası ilişkiler ihtiyacını vurgulamaktadır.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!