2025 başlarında Güneydoğu Asya ve ötesindeki diplomatları ve devlet kuruluşlarını hedefleyen gizli bir casusluk kampanyası ortaya çıktı.
Bu işlemin merkezinde, meşru bir Adobe eklentisi güncellemesi olarak titizlikle gizlenmiş bir indirici olan StaticPlugin yer alıyor.
Mağdurlar, tarayıcıları kötü amaçlı alanlara yönlendiren esir bir portal kaçırma ile karşılaştılar, burada HTTPS tarafından sağlanan bir açılış sayfası, kullanıcıları “eksik eklentileri yüklemeye…”-şüpheyi düşürmeye ve tarayıcı uyarılarını atlamaya yöneldi.
.webp)
İkili, yürütüldükten sonra, sogu.sec arka kapısının bellek içi lansmanıyla sonuçlanan çok aşamalı bir zincir kullandı.
İlk uzlaşmanın ardından StaticPlugin, BMP görüntüsü olarak maskelenen bir MSI paketini alır. Bu paketin içinde, şifrelenmiş yük cnmplog.dat’ı yürütmek için DLL yan yüklü olan CanonStager bulunur.
Bu yan yükleme tekniği, ana bilgisayar tabanlı savunmalardan kaçınmak için güvenilir Windows bileşenlerinden yararlanır. Google Cloud analistleri, PRC-Nexus Tradecraft’ta sofistike bir evrim olarak bu yeni esir portal kaçırma ve geçerli kod imzalamasının bu yeni kombinasyonunu belirledi.
Kanıtlar, Chengdu Nuoxin Times Technology Co., Ltd.’nin StaticPlugin için kullanılan imza sertifikalarını yayınladığını ve indiriciye yanlış meşruiyet ödünç verdiğini göstermektedir.
GlobalSign ve Let’s Encrypt tarafından verilen bu sertifikalar, kötü amaçlı yazılımların dijital olarak imzalanmış ikili dosyalara güvenen birçok uç nokta güvenlik çözümünü atlamasına izin verdi.
.webp)
Google Cloud araştırmacıları, orijinal sertifikanın 14 Temmuz 2025’te sona ermesine rağmen, UNC6384’te kesintisiz gizliliği korumak için sonraki yapı yinelemelerini yeniden imzaladığını belirtti.
Canonstager’ın ayrıntılı analizi, geleneksel olmayan kaçış taktiklerini ortaya koymaktadır. Başlatıcı, Windows API adreslerini özel bir karma algoritması kullanarak çözer ve bunları izleme araçlarıyla fark edilmeyebilecek atipik bir konum olan Thread Local Storage (TLS) ‘de saklar.
.webp)
Bu işlevleri dolaylı olarak gizli bir pencere prosedürü yoluyla çağırarak ve bir WM_ShowWindow mesajı göndererek Canonstager, gerçek kontrol akışını meşru Windows mesaj kuyrukları içinde gizler.
.webp)
Bellek içi yürütme yoluyla tespit kaçınma
UNC6384’ün en dikkat çekici yeniliklerinden biri, uçtan uca bellek içi infazında yatmaktadır. Gizli pencereyi kurduktan ve API’leri çözdükten sonra CanonStager, CNMPlog.dat’ı şifresini çözmek için yeni bir iş parçacığı oluşturur.
Başlatıcı, şifre çözülmüş sogu.sec yükünü diske yazmak yerine, arka kapıyı doğrudan bellekte yürütmek için bir geri arama işlevi olarak EnumSystemgeoid’i çağırır.
Bu teknik, Diskte hiçbir kötü niyetli ikili bulunmadığından, savunucuları değerli adli artefaktları reddeder.
Ayrıca, 166.88.2.90 numaralı telefondan C2 sunucusu ile iletişim, HTTPS üzerinden normal web trafiği ile harmanlanarak ve ağ tabanlı algılamayı daha da karmaşıklaştırır.
İlk JavaScript, Adobeplugins.exe’nin indirilmesini tetikler ve bellek içi yürütme için aşamayı ayarlar. UNC6384, disk yazılarından kaçınarak ve geçerli sertifikalardan yararlanarak, kötü amaçlı yazılım gizliliği için çıtayı yükseltti.
Google Cloud analistleri bu kampanyayı izlemeye devam ettikçe, savunucuların bellek artefaktlarını incelemeleri, katı kod imzalama politikalarını uygulamaya ve anormal TLS sertifikalarını ve esir portal merhimlerini algılamak için gelişmiş güvenli tarama yapılmasını sağlamaları istenir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.