Tibet topluluğu, geçen ay Dalai Lama’nın 6 Temmuz 2025’teki 90. doğum gününden önce yapılan iki kampanyanın bir parçası olarak bir Çin-Nexus siber casusluk grubu tarafından hedef alındı.
Çok aşamalı saldırılara kodlandı Ghostchat Operasyonu Ve Fantomprayer Operasyonu Zscaler Tehditlabz tarafından.
Güvenlik Araştırmacıları Sudeep Singh ve Roy Tay Çarşamba raporunda, “Saldırganlar meşru bir web sitesini tehlikeye attı, kullanıcıları kötü niyetli bir bağlantı aracılığıyla yeniden yönlendirdi ve nihayetinde GH0ST sıçanını veya Phantomnet’i (diğer adıyla Smaanager) kurban sistemlerine kurdu.” Dedi.
Bu, Çinli tehdit aktörlerinin ilk kez sulama deliği saldırılarına (aka stratejik web uzlaşmaları) başvurmadığı, rakiplerin cihazlarını kötü amaçlı yazılımlarla enfekte etmek için belirli bir grup tarafından sık sık ziyaret ettikleri web sitelerine girdiği bir teknik.
Son iki yılda, Evilbamboo, Kansa Panda ve TAG-112 gibi hackleme grupları, hassas bilgileri toplama hedefiyle Tibet Diasporası’nı hedefleme yaklaşımına başvurdular.
 |
| Ghostchat Operasyonu |
Zscaler tarafından gözlemlenen en son saldırılar kümesi[.]Org/90thbirthday “hileli bir versiyona sahip (” thedalailama90.niccenter[.]açık”).
Orijinal web sayfası Dalai Lama’ya bir mesaj göndermek için tasarlanmış olsa da, çoğaltma sayfası “tbelement.niccenter’dan indirerek manevi lidere şifreli bir mesaj gönderme seçeneği ekler.[.]Net “Element’in Tibet versiyonu olduğunu iddia eden Telement adlı güvenli bir sohbet uygulaması.
Web sitesinde barındırılan, çeşitli Çin hack grupları tarafından yaygın olarak kullanılan bir uzaktan erişim Truva atı olan GH0ST Rat’ı piyasaya sürülen kötü niyetli bir DLL içeren açık kaynaklı şifreli sohbet yazılımının geri alınmış bir sürümüdür. Web sayfası ayrıca ziyaretçinin IP adresini ve kullanıcı ajanı bilgilerini toplamak için tasarlanmış JavaScript kodu içerir ve ayrıntıları bir HTTP sonrası isteği aracılığıyla tehdit oyuncusuna ekleyin.
 |
| Fantomprayer Operasyonu |
GH0ST RAT, dosya manipülasyonu, ekran yakalama, pano içeriği çıkarma, web kamerası video kaydı, keyloglama, ses kaydı ve oynatma, proses manipülasyonu ve uzaktan kabuğu destekleyen tam özellikli bir kötü amaçlı yazılımdır.
İkinci kampanya olan PhantomPrayers Operasyonu, başka bir alandan yararlandığı tespit edildi:[.]Net, “Bir Sahte Dağıtmak” 90. Doğum Günü Global Check-in “Uygulaması (” Dalailamacheckin.exe, Phantomprayers olarak adlandırılan), açıldığında interaktif bir harita sergileyen ve mağdurları haritadaki konumlarını inceleyerek Dalai Lama için “kutsamalarınızı göndermeye” çağırıyor.
Bununla birlikte, kötü niyetli işlevsellik, tehlikeye atılan makinede yürütme için ek eklenti DLL’leri almak için TCP üzerinden bir komut ve kontrol (C2) sunucusu ile temas kuran bir arka kapı olan PhantomNet’i başlatmak için DLL yan yükleme teknikleri kullanılarak arka planda gizli bir şekilde tetiklenir.
Araştırmacılar, “PhantomNet yalnızca belirli saatler veya günlerde çalışacak şekilde ayarlanabilir, ancak bu özellik mevcut örnekte etkinleştirilmez.” Dedi. “PhantomNet, tehlikeye atılan sistemleri gizlice yönetmek için modüler eklenti DLL’leri, AES şifreli C2 trafiği ve yapılandırılabilir zamanlanmış işlemleri kullandı.”