UNC5174 olarak bilinen Çin bağlantılı tehdit aktörü, bilinen bir kötü amaçlı yazılımın bir çeşidini ve Linux sistemlerini enfekte etmek için Vshell adlı yeni bir açık kaynaklı araçtan yararlanan yeni bir kampanyaya atfedildi.
“Tehdit aktörleri, paradan tasarruf etmek için maliyet etkinliği ve şaşkınlık için cephaneliklerinde açık kaynak araçlarını giderek daha fazla kullanıyor ve bu durumda, devlet dışı ve genellikle daha az teknik rakiplerin (örneğin, senaryo çocukları) havuzuyla karışıyor, bu nedenle Sysdig araştırmacısı Alessandra Rizzo, hacker haberleriyle paylaşıldığını söyledi.
Diyerek şöyle devam etti: “Bu, Çin hükümetine bağlı olduğundan beri geçen yıl radar altında olan bu özel tehdit aktörü için özellikle geçerli gibi görünüyor.”
UTEUS (veya UETUS) olarak da adlandırılan UNC5174, daha önce Google’a ait maniant tarafından, bir Google Tunneler adlı bir c-tabanlı elf indiricisinde, bir GoLang Tunneller adında bir C-Mevcut Frame-Crechtol’den bilinmek için tasarlanmış C tabanlı bir ELF yazılımı sunmak için daha önce belgelenmişti. Supershell.
Saldırılarda ayrıca, Golang’da güvenli kabuk (SSH) üzerinde faaliyet gösteren halka açık bir ters kabuk arka kapısı olan Gorverse vardı.
Geçen ay yayınlanan 2024 için siber tehdit genel bakış raporunda Fransız Ulusal Bilgi Sistemleri Güvenliği Ajansı (ANSSI), UNC5174 ile Ivanti Bulut Servis Cihazında (CSA), CVE-2024-920 ve CSA) gibi benzer bir ticari aracı kullanan bir saldırganın CVE-2024-CVE ve CSA), CVE-2024-82. Kontrol kazanın ve keyfi kod yürütün.
Anssi, “Orta derecede sofistike ve sağduyulu olan bu saldırı seti, büyük ölçüde açık kaynak olarak mevcut olan izinsiz giriş araçlarının kullanılması ve bir rootkit kodunun kullanımı ile karakterizedir.” Dedi.
Ekim 2024’te Virustotal’a yüklenen artefaktların analizine göre, hem Snowlight hem de Vshell’in Apple macOS sistemlerini hedefleyebildiğini belirtmek gerekir, ikincisi, henüz belirsiz bir saldırı zincirinin bir parçası olarak sahte bir Cloudflare kimlik doğrulayıcı uygulaması olarak dağıtılır.
Ocak 2025’in sonlarında Sysdig tarafından gözlemlenen saldırı zincirinde, kar ışığı kötü amaçlı yazılım, Çince konuşan siber suçlular tarafından yaygın olarak kullanılan bir uzaktan erişim Truva atı (sıçan) olan Vshell adlı belleksiz, bellek içi bir yük için bir damlalık görevi görür. Saldırı için kullanılan ilk erişim vektörü şu anda bilinmemektedir.
Özellikle, başlangıç erişim, her ikisi de bir C2 sunucusu ile kalıcılık ve iletişim kurmak için kullanılan kar ışığı (DNSLoger) ve Sliver (System_Worker) ile ilişkili iki ikili dosyayı dağıtan kötü amaçlı bir Bash komut dosyası (“Download_backd.sh”) yürütmek için kullanılır.
Saldırının son aşaması, C2 sunucusuna özel olarak hazırlanmış bir istekle VShell’i kar ışığı yoluyla sunar, böylece uzaktan kumanda ve daha fazla zorunluluk sonrası sömürü sağlar.
“[VShell] Bir sıçan (uzaktan erişim Trojan) olarak hareket eder, istismarcılarının keyfi komutlar yürütmesine ve dosya indirmesine veya yüklemesine izin veren Rizzo.
Açıklama, TeamT5’in bir Çin-Nexus hack grubunun, ilk erişim elde etmek ve Spawnchimera kötü amaçlı yazılımlarını dağıtmak için Ivanti cihazlarındaki (CVE-2025-0282 ve CVE-2025-22457) güvenlik kusurlarından yararlandığını ortaya koymuştur.
Tayvanlı siber güvenlik şirketi, saldırıların Avusturya, Avustralya, Fransa, İspanya, Japonya, Güney Kore, Hollanda, Singapur, Tayvan, Birleşik Arap Emirlikleri, Birleşik Krallık ve ABD gibi yaklaşık 20 farklı ülkeyi kapsayan çok sayıda sektörü hedef aldığını söyledi.
Bulgular ayrıca, Çin’den ABD Ulusal Güvenlik Ajansı’nın (NSA) Şubat ayında Asya Kış Oyunları sırasında “ileri” siber saldırılar başlattığı ve Çin’in kritik bilgi altyapısına ve Huawei’ye karşı tekrarlanan saldırılar için üç NSA ajanında parmakları işaret ettiği suçlamalarıyla da yer alıyor.
Dışişleri Bakanlığı sözcüsü Lin Jian, “Dokuzuncu Asya Kış Oyunları’nda ABD hükümeti, oyunların bilgi sistemleri ve Heilongjiang’daki kritik bilgi altyapısı üzerinde siber saldırılar gerçekleştirdi.” Dedi. Diyerek şöyle devam etti: “Bu hareket, Çin’in kritik bilgi altyapısı, ulusal savunma, finans, toplum ve üretimin yanı sıra vatandaşlarının kişisel bilgilerinin güvenliğini ciddi şekilde tehlikeye atıyor.”