Çin ile uyumlu bir tehdit aktörü olarak bilinen TA415 ABD hükümetini, düşünce kuruluşlarını ve ABD-Çin ekonomik temalı yemlerini kullanan akademik kuruluşları hedefleyen mızrak aktı kampanyalarına atfedildi.
“Bu etkinlikte grup, ABD ve Çin Komünist Partisi (ÇKP) arasındaki stratejik rekabet seçimi komitesinin ve ABD-Çin İş Konseyi’nin ağırlıklı olarak ABD-Çin ilişkileri, ticaret ve ekonomi politikasına odaklanan bir dizi birey ve kuruluşu hedeflemek için maskelendi.”
Kurumsal güvenlik şirketi, Temmuz ve Ağustos 2025 boyunca gözlemlenen faaliyetin, Çin devlet destekli tehdit aktörlerinin bir kısmında, devam eden ABD-Çin ticaret görüşmeleri arasında istihbarat toplanmasını kolaylaştırmak için bir çaba olduğunu ve hack grubu hisselerinin APT41 ve brass typhoon (eski baryum) adları altında geniş bir tehdit kümesiyle örtüştüğünü söyledi.
Bulgular, ABD House Select Komitesi’nin Çin tehdit aktörlerine bağlı olarak, Çin tehdit aktörleriyle bağlantılı bir dizi “devam eden”, yüksek hedefli siber casusluk kampanyaları hakkında bir danışmanlık uyarısı yayınlamasından günler sonra, Cumhuriyetçi Parti Kongresi John Robert Moolenaar’ı, veri çalma kötü amaçlı yazılımlar sunmak için tasarlanmış kimlik avı e-postalarında taklit eden bir kampanya da dahil.
Proofpoint başına kampanya, esas olarak uluslararası ticaret, ekonomi politikası ve ABD-Çin ilişkileri konusunda uzmanlaşmış bireylere odaklandı ve onlara ABD-Çin İş Konseyi’ni ABD-Tayvan ve ABD-Çin işleri hakkında sözde kapalı kapı brifingine davet eden e-postalar gönderdi.
Mesajlar “uschina@zohomail e -posta adresi kullanılarak gönderildi[.]com, “etkinliğin kaynağını gizlemek için Cloudflare Warp VPN hizmetine de güvenirken. Zoho Workdrive, Dropbox ve OpenDrive gibi ortak bulut paylaşım hizmetlerinde barındırılan parola korumalı arşivlere, içinde bir klasördeki diğer dosyalarla birlikte bir pencere kısayolu (LNK) var.
LNK dosyasının birincil işlevi, gizli klasör içinde bir toplu komut dosyası yürütmek ve kullanıcıya bir yem olarak bir PDF belgesini görüntülemektir. Arka planda, toplu komut dosyası, arşivde de mevcut olan Whirlcoil adlı gizlenmiş bir Python yükleyici yürütür.
Proofpoint, “Bu enfeksiyon zincirinin önceki varyasyonları bunun yerine pastebin gibi bir macun bölgesinden ve Python paketini doğrudan resmi Python web sitesinden indirdi.”
Komut dosyası ayrıca, yükleyiciyi her iki saatte bir kalıcılık biçimi olarak çalıştırmak için genellikle GoogleUpdate veya MicrosofthealthCaremonitornode adlı planlanmış bir görev ayarlamak üzere tasarlanmıştır. Ayrıca, kullanıcının tehlikeye atılan ana bilgisayara yönetimsel erişimi varsa, sistem ayrıcalıklarıyla da görevi çalıştırır.
Python Loader daha sonra kalıcı arka kapı erişimini oluşturmak için bir Visual Studio kodu uzaktan tünel oluşturur ve sistem bilgilerini ve çeşitli kullanıcı dizinlerinin içeriğini hasat eder. Veri ve uzaktan tünel doğrulama kodu ücretsiz bir istek günlüğü hizmetine gönderilir (örn., RequestRepo[.]com) bir HTTP sonrası isteği gövdesi içinde baz64 kodlu bir blob şeklinde.
Proofpoint, “Bu kodla, tehdit oyuncusu daha sonra VS Kodu uzaktan tünelini doğrulayabilir ve dosya sistemine uzaktan erişebilir ve hedeflenen ana bilgisayardaki yerleşik Visual Studio terminali aracılığıyla keyfi komutlar yürütebilir.” Dedi.