Çin Kurumsal Aracı, Gizli Kimlik Avı Saldırı Zinciriyle Silahlandırıldı
Prajeet Nair (@prajeetspeaks) •
27 Ocak 2026
Bir casusluk kampanyası, ülkenin Gelir Vergisi Departmanı’nın kimliğine bürünen kimlik avı e-postaları yoluyla Hintli kullanıcıları hedef alıyor ve gözetleme erişimi elde etmek için Çin kurumsal yönetim platformunun silahlı bir versiyonunu kullanıyor.
Ayrıca bakınız: Bir Hukuk Hizmetleri Firmasının Modern Bir Uzaktan Çalışma Stratejisine İhtiyacı Vardı. Sanal Masaüstü yerine Venn’i seçmek her şeyi değiştirdi.
eSentire tarafından yayınlanan yeni bir teknik analiz, operasyonun ticari amaçlı kötü amaçlı yazılım bileşenlerini yüksek düzeyde hedeflenen ticari araçlarla birleştirdiğini ve meşru kurumsal yazılım ile kötü amaçlı siber casusluk araçları arasındaki çizgiyi bulanıklaştırdığını söylüyor.
Saldırganların hedefi, Çin merkezli Nanjing Zhongke Huasai Technology tarafından geliştirilen ve tehdit aktörlerinin tam özellikli bir casusluk çerçevesi olarak yeniden tasarladığı bir uzaktan yönetim ve izleme platformu olan SyncFuture Terminal Güvenlik Yönetimi’ni kurmaktır. Saldırganlar çok aşamalı kötü amaçlı yazılım yükleyicileri, antivirüs kaçırma teknikleri ve uzun vadeli kalıcılık mekanizmalarını kullanıyor.
Kurbanlar, kötü amaçlı bir dinamik bağlantı kitaplığını dışarıdan yüklemek üzere tasarlanmış imzalı bir Microsoft yürütülebilir dosyasını içeren sıkıştırılmış arşivler alıyor. Bu DLL, ilk aşama yükleyici görevi görür ve hata ayıklama araçlarını ve korumalı alan koşullarını tespit etmek için ortam kontrolleri gerçekleştirir, böylece kötü amaçlı yazılımın analizi algılaması halinde erken sonlandırılmasına olanak tanır.
Araştırmacılar, zincirde, sonraki yükler için hem yükleyici hem de orkestratör olarak işlev gören önemli bir kötü amaçlı yazılım bileşeni olan Blackmoon’u tespit etti.
Blackmoon, sistemi son SyncFuture dağıtımına hazırlamak için gereken ek araçları hazırlarken, zamanlanmış görevler ve Windows hizmetleri aracılığıyla kalıcılık sağlar.
Araştırmacılar, Blackmoon’un adli ayak izini azaltmak için gizleme ve gecikmeli infaz kullandığını söyledi. Kampanyanın en sıra dışı teknik özelliklerinden biri, uç nokta korumasını atlama yöntemidir. Avast Free Antivirus’ü tespit ederse kötü amaçlı yazılım, GUI’de gezinmek ve kendisini beyaz listeye almak için fare ve klavye eylemlerini taklit eder. Güvenlik süreçleri yerine meşru kullanıcı kontrollerini kötüye kullanarak tespit ve uyarılardan kaçınır.
Ortam hazırlandıktan sonra saldırganlar son yük olarak SyncFuture TSM’yi yükler. Platform, ekran izlemeyi, dosya erişimini, kullanıcı etkinliğini izlemeyi ve uzaktan komut yürütmeyi mümkün kılarak tehlikeye atılmış uç noktaları etkili bir şekilde uzun vadeli gözetim varlıklarına dönüştürür.
eSentire, kampanyanın özel arka kapılar dağıtmak yerine ticari uzaktan yönetim ve izleme yazılımlarını kötüye kullanma yönünde artan bir eğilim gösterdiğini söyledi. Bu strateji, saldırganların normal kurumsal trafik kalıplarına karışmasına ve casusluk amacıyla şifreleme, güncelleme mekanizmaları ve sistem yönetimi kontrol panelleri gibi olgun özelliklerden yararlanmasına olanak tanır.
Araştırmacılar, operasyonu belirli bir ulus devlet grubuna bağlamadı ancak kampanyayı, mali suçtan ziyade yüksek hedefli ve istihbarat toplama hedefleriyle tutarlı olarak değerlendirdiler.