Çin merkezli tehdit aktörleri, birden fazla kıtadaki ağlara sızmak, şüpheli bir casusluk kampanyasıyla devlet kurumlarını ve kritik altyapıyı hedef almak için Microsoft SharePoint sunucularındaki kritik ToolShell güvenlik açığından yararlandı.
CVE-2025-53770 olarak tanımlanan bu güvenlik açığı, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine olanak tanıyor ve Microsoft’un hızlı yama çalışmalarına rağmen Temmuz 2025’te ortaya çıkmasından bu yana aktif olarak kullanılıyor.
Symantec’ten güvenlik araştırmacıları, saldırıların yamalar yayınlandıktan kısa bir süre sonra başladığını ve Orta Doğu, Afrika, Güney Amerika ve ötesindeki kuruluşları etkilediğini bildirdi.
ToolShell, şirket içi SharePoint sunucularındaki güvenilmeyen veri sorununun seri durumdan çıkarılmasından kaynaklanıyor ve saldırganların kimlik doğrulaması olmadan rastgele kod yürütmesine olanak tanıyor.
Mayıs 2025’teki Pwn2Own Berlin etkinliğinde gösterilen CVE-2025-49704 ve CVE-2025-49706 gibi daha önceki kusurlara dayanıyor.
Kötüye kullanım zinciri tipik olarak bir kimlik doğrulama atlamasını (CVE-2025-53771) içerir; burada ToolPane.aspx uç noktasına yönelik hazırlanmış bir POST isteği, sunucuyu erişim izni vermesi için kandırır ve ardından kod yürütme için kötü amaçlı veriler enjekte edilir.
Microsoft, 21 Temmuz 2025’teki yamanın hemen ardından Çin bağlantılı en az üç grup Budworm (Linen Typhoon), Sheathminer (Violet Typhoon) ve Storm-2603 tarafından istismar edildiğini doğruladı.
Bu aktörler sıfır gün saldırıları, dosya sistemlerini tehlikeye atmak ve kalıcı erişim sağlamak için ToolShell’den yararlandı.
Hedefler ve Saldırı Modelleri
Kampanyanın kapsamı geniş; Orta Doğu’daki bir telekom firmasında, iki Afrika hükümet departmanında, Güney Amerika ajanslarında, bir ABD üniversitesinde, bir Afrika devlet teknoloji kuruluşunda, bir Orta Doğu hükümet departmanında ve bir Avrupalı finans şirketinde doğrulanmış ihlaller var.
Orta Doğu’ya ilk erişim, 21 Temmuz 2025’te bir web kabuğu dağıtımı yoluyla gerçekleşti ve ardından Trend Micro ve BitDefender’dan meşru ikili dosyalar kullanılarak kötü amaçlı yazılımların DLL tarafından dışarıdan yüklenmesi gerçekleşti.
Güney Amerika vakalarında saldırganlar, Symantec araçlarını taklit etmek ve kötü amaçlı DLL’leri dışarıdan yüklemek için yeniden adlandırılan “mantec.exe”yi kullanarak Adobe ColdFusion ile SQL ve Apache HTTP sunucularından yararlandı.
Kanıtlar, kimlik bilgileri hırsızlığı ve yanal hareket için yüksek değerli hedeflerin seçici olarak takip edilmesiyle, savunmasız sunucuların toplu olarak tarandığını gösteriyor.
Saldırganlar, Glowworm grubuna (diğer adıyla Earth Estries veya FamousSparrow) bağlı, Go tabanlı bir HTTP arka kapısı olan Zingdoor’u kullandı. Bu arka kapının ilk kez 2023’te hükümete ve teknoloji sektörlerine karşı casusluk yaptığı belgelendi.
Blackfly gibi APT41-nexus gruplarıyla ilişkili modüler bir RAT olan ShadowPad, komut yürütme ve güncellemeler için DLL yan yükleme yoluyla da kullanıldı.
UNC5221’e (Çin bağlantılı bir aktör) bağlı, Rust tarafından yazılmış bir yükleyici olan KrustyLoader, kırmızı takım emülasyonu için kötüye kullanılan açık kaynaklı bir C2 çerçevesi olan Sliver gibi ikinci aşama yükleri sağladı.
Arazi dışında yaşayan araçlar arasında indirmeler için Certutil, kimlik bilgisi dökümü için Procdump ve LsassDumper, keşif için GoGo Tarayıcı, proxy oluşturma için Revsocks ve ayrıcalık yükseltme için PetitPotam istismarı (CVE-2021-36942) yer alıyordu.
IoC’ler
Bu aktivite, ToolShell’in ilk raporların ötesinde yaygın şekilde kötüye kullanıldığını vurgulayarak şirket içi SharePoint örneklerine acil yama yapılması ihtiyacını vurguluyor.
400’ün üzerinde güvenlik açığının tespit edildiği ve Salt Typhoon taktikleriyle bağlantılı olduğu düşünülen operasyonlar, devlet destekli casusluğun kalıcı, gizli ağ erişimine odaklandığını gösteriyor.
| Tip | Gösterge | Tanım |
|---|---|---|
| SHA256 Karma | 6240e39475f04bfe55ab7cba8746bd08901d7678b1c7742334d56f2bc8620a35 | LsassDamper |
| SHA256 Karma | 929e3fdd3068057632b52ecdfd575ab389390c852b2f4e65dc32f20c87521600 | KrustyYükleyici |
| SHA256 Karma | db15923c814a4b00ddb79f9c72f8546a44302ac2c66c7cc89a144cb2c2bb40fa | Muhtemelen ShadowPad |
| SHA256 Karma | e6c216cec379f418179a3f6a79df54dcf6e6e269a3ce3479fd7e6d4a15ac066e | ShadowPad Yükleyici |
| SHA256 Karma | 071e662fc5bc0e54bcfd49493467062570d0307dc46f0fb51a68239d281427c6 | Zingdoor |
| SHA256 Karma | 1f94ea00be79b1e4e8e0b7bbf2212f2373da1e13f92b4ca2e9e0ffc5f93e452b | PetitPotam/CVE-2021-36942’den yararlanma |
| SHA256 Karma | dbdc1beeb5c72d7b505a9a6c31263fc900ea3330a59f08e574fd172f3596c1b8 | RevSocks |
| SHA256 Karma | 6aecf805f72c9f35dadda98177f11ca6a36e8e7e4348d72eaf1a80a899aa6566 | LsassDamper |
| SHA256 Karma | 568561d224ef29e5051233ab12d568242e95d911b08ce7f2c9bf2604255611a9 | Çorap Proxy’si |
| SHA256 Karma | 28a859046a43fc8a7a7453075130dd649eb2d1dd0ebf0abae5d575438a25ece9 | Harekete Geç Tarayıcı |
| SHA256 Karma | 7be8e37bc61005599e4e6817eb2a3a4a5519fded76cb8bf11d7296787c754d40 | Şerit |
| SHA256 Karma | 5b165b01f9a1395cae79e0f85b7a1c10dc089340cf4e7be48813ac2f8686ed61 | ProcDump |
| SHA256 Karma | e4ea34a7c2b51982a6c42c6367119f34bec9aeb9a60937836540035583a5b3bc | ProcDump |
| SHA256 Karma | 7803ae7ba5d4e7d38e73745b3f321c2ca714f3141699d984322fa92e0ff037a1 | Mini döküm |
| SHA256 Karma | 7acf21677322ef2aa835b5836d3e4b8a6b78ae10aa29d6640885e933f83a4b01 | mantec.exe (İyi huylu yürütülebilir) |
| SHA256 Karma | 6c48a510642a1ba516dbc5effe3671524566b146e04d99ab7f4832f66b3f95aa | bugsplatrc.dll |
| URL’si | http://kia-almotores.s3.amazonaws[.]com/sy1cyjt | KrustyLoader C&C sunucusu |
| URL’si | http://omnileadzdev.s3.amazonaws[.]com/PBfbN58lX | KrustyLoader C&C sunucusu |
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
