Çin bağlantılı bir tehdit aktörünün, politika meseleleriyle bağlantılı veya bunlarla ilgilenen ABD kuruluşlarına yönelik daha geniş bir faaliyetin parçası olarak, uzun vadeli kalıcılık sağlama amacıyla ABD’li kar amacı gütmeyen bir kuruluşu hedef alan bir siber saldırıya atfedildiği iddia edildi.
Broadcom’un Symantec ve Carbon Black ekipleri tarafından hazırlanan bir rapora göre örgüt, “ABD hükümetinin uluslararası konulardaki politikasını etkileme girişiminde aktif.” Saldırganlar, Nisan 2025’te birkaç hafta boyunca ağa erişmeyi başardılar.
Etkinliğin ilk işareti 5 Nisan 2025’te, CVE-2022-26134 (Atlassian), CVE-2021-44228 (Apache Log4j), CVE-2017-9805 (Apache Struts) ve CVE-2017-17562 (GoAhead) dahil olmak üzere çeşitli iyi bilinen açıklardan yararlanılarak bir sunucuya karşı toplu tarama çabaları tespit edildiğinde ortaya çıktı. Web Sunucusu).
Saldırıların internet bağlantısını test etmek için birkaç curl komutu yürüttüğü ve ardından ağ yapılandırma bilgilerini toplamak için Windows komut satırı aracı netstat’ın çalıştırıldığı 16 Nisan’a kadar başka hiçbir eylem kaydedilmedi. Bunu, zamanlanmış bir görev aracılığıyla ana bilgisayarda kalıcılığın ayarlanması izledi.
Görev, bilinmeyen bir veriyi çalıştırmak için meşru bir Microsoft ikili dosyası “msbuild.exe”yi yürütmek ve yüksek ayrıcalıklı bir SİSTEM kullanıcısı olarak her 60 dakikada bir çalışacak şekilde yapılandırılmış başka bir zamanlanmış görev oluşturmak üzere tasarlandı.
Symantec ve Carbon Black, bu yeni görevin bilinmeyen kodu yükleme ve “csc.exe” dosyasına enjekte etme yeteneğine sahip olduğunu ve sonuçta bir komuta ve kontrol (C2) sunucusu (“38.180.83) ile iletişim kurduğunu söyledi.[.]Daha sonra saldırganların, muhtemelen bellekteki bir uzaktan erişim truva atı (RAT) olan belirtilmemiş bir veriyi paketinden çıkarmak ve çalıştırmak için özel bir yükleyici çalıştırdığı gözlemlendi.
Ayrıca meşru Vipre AV bileşeninin (“vetysafe.exe”) bir DLL yükleyicisini (“sbamres.dll”) yüklemek için çalıştırıldığı da gözlemlendi. Bu bileşenin aynı zamanda Salt Typhoon’a (aka Earth Estries) atfedilen önceki faaliyetlerde Deed RAT (aka Snappybee) ile bağlantılı olarak DLL yan yüklemesi için ve APT41’in bir alt kümesi olan Earth Longzhi’ye atfedilen saldırılarda kullanıldığı söyleniyor.
Broadcom, “Bu kötü amaçlı DLL’nin bir kopyası daha önce Uzay Korsanları olarak bilinen Çin merkezli tehdit aktörleriyle bağlantılı saldırılarda kullanılmıştı” dedi. “Bu bileşenin farklı bir dosya adına sahip bir çeşidi, Çinli APT grubu Kelp (aka Salt Typhoon) tarafından ayrı bir olayda da kullanıldı.”
Hedeflenen ağda gözlemlenen diğer araçlardan bazıları arasında Dcsync ve Imjpuexc vardı. Saldırganların çabalarında ne kadar başarılı oldukları belli değil. 16 Nisan 2025’ten sonra herhangi bir ek faaliyet kaydedilmedi.
Symantec ve Carbon Black, “Bu kurban üzerindeki faaliyetlerden, saldırganların ağ üzerinde kalıcı ve gizli bir varlık oluşturmayı hedefledikleri ve aynı zamanda etki alanı denetleyicilerini hedeflemekle de çok ilgilendikleri açıkça görülüyor, bu da potansiyel olarak ağdaki birçok makineye yayılmalarına izin verebilir.” dedi.
“Gruplar arasında araç paylaşımı, Çinli tehdit aktörleri arasında uzun süredir devam eden bir eğilim; bu da bir dizi faaliyetin arkasında hangi grubun olduğunu söylemeyi zorlaştırıyor.”
Açıklama, çevrimiçi takma adı BartBlaze olan bir güvenlik araştırmacısının, Salt Typhoon’un WinRAR’daki (CVE-2025-8088) bir güvenlik kusurunu kullanarak, tehlikeye atılan ana makinede kabuk kodunu çalıştırmaktan sorumlu bir DLL dosyasını dışarıdan yükleyen bir saldırı zincirini başlattığını açıklamasıyla geldi. Son veri, uzaktaki bir sunucuyla (“mimosa.gleeze”) iletişim kurmak için tasarlanmıştır.[.]com”).
Diğer Çinli Hacking Gruplarının Faaliyetleri
ESET tarafından hazırlanan bir rapora göre, Çin’e bağlı gruplar aktif kalmaya devam ederek Asya, Avrupa, Latin Amerika ve ABD’deki oluşumlara Pekin’in jeopolitik önceliklerine hizmet etmek için saldırıyor. Dikkate değer kampanyalardan bazıları şunlardır:
- Temmuz 2025’te Speccom kod adlı bir tehdit aktörünün, BLOODALCHEMY’nin bir çeşidini ve kidsRAT ve RustVoralix gibi özel arka kapıları sunmak için kimlik avı e-postaları yoluyla Orta Asya’daki enerji sektörünü hedef alması.
- Temmuz 2025’te DigitalRecyclers kod adlı bir tehdit aktörü tarafından Avrupa kuruluşlarının, SİSTEM ayrıcalıkları kazanmak için Büyüteç erişilebilirlik aracının kullanılmasını içeren olağandışı bir ısrar tekniği kullanılarak hedeflenmesi.
- Haziran ve Eylül 2025 arasında Latin Amerika’daki (Arjantin, Ekvador, Guatemala, Honduras ve Panama) devlet kurumlarının, SparrowDoor’u dağıtmak için muhtemelen Microsoft Exchange Server’daki ProxyLogon kusurlarından yararlanan FamousSparrow kod adlı bir tehdit aktörü tarafından hedeflenmesi.
- Mayıs ve Eylül 2025 arasında savunma havacılık sektöründeki Tayvanlı bir şirketin, Çin merkezli bir ABD ticaret kuruluşunun ve bir Yunan devlet kurumunun Çin merkezli ofislerinin ve Ekvador hükümet organının SinisterEye (diğer adıyla LuoYu ve Cascade Panda) kod adlı bir tehdit aktörü tarafından ortadaki rakip (AitM) saldırılarını kullanarak WinDealer (Windows için) ve SpyDealer (Android için) gibi kötü amaçlı yazılımlar dağıtmak üzere hedeflenmesi meşru yazılım güncelleme mekanizmaları.
- Haziran 2025’te, her ikisi de Kamboçya’da bulunan bir Japon şirketinin ve çok uluslu bir işletmenin, PlushDaemon kod adlı bir tehdit aktörü tarafından SlowStepper’ı sağlamak için AitM zehirlenmesi yoluyla hedeflenmesi.
ESET, “PlushDaemon, yönlendiriciler gibi ağ cihazlarından ödün vererek ve DNS trafiğini hedeflenen ağdan uzak, saldırgan tarafından kontrol edilen bir DNS sunucusuna yönlendiren EdgeStepper adını verdiğimiz bir aracı dağıtarak AitM konumlandırmasını sağlıyor” dedi.
“Bu sunucu, yazılım güncelleme altyapısıyla ilişkili alan adlarına yönelik sorgulara, güncelleme ele geçirme işlemini gerçekleştiren ve sonuçta PlushDaemon’un amiral gemisi arka kapısı SlowStepper’a hizmet veren web sunucusunun IP adresiyle yanıt verir.”
Çin Hacking Grupları Yanlış Yapılandırılmış IIS Sunucularını Hedefliyor
Son aylarda tehdit avcıları, Çince konuşan bir tehdit aktörünün, halka açık makine anahtarlarını kullanarak, SEO gizleme ve web kabuğu özellikleriyle birlikte gelen TOLLBOOTH (aka HijackServer) adlı bir arka kapı yüklemek için yanlış yapılandırılmış IIS sunucularını hedef aldığını tespit etti.
Elastic Security Labs araştırmacıları geçen ayın sonlarında yayınlanan bir raporda “REF3927, IIS sunucularını tehlikeye atmak ve TOLLBOOTH SEO gizleme modüllerini küresel olarak dağıtmak için kamuya açıklanmış ASP.NET makine anahtarlarını kötüye kullanıyor” dedi. HarfangLab’a göre operasyon dünya çapında yüzlerce sunucuya bulaştı ve enfeksiyonlar Hindistan ve ABD’de yoğunlaştı.
Saldırılar aynı zamanda Godzilla web kabuğunu düşürmek, GotoHTTP uzaktan erişim aracını çalıştırmak, kimlik bilgilerini toplamak için Mimikatz’ı kullanmak ve virüslü makinedeki kötü amaçlı yüklerin varlığını gizlemek için açık kaynaklı gizli rootkit’in değiştirilmiş bir versiyonu olan HIDDENDRIVER’ı dağıtmak için ilk erişimi silahlandırma girişimleriyle de karakterize ediliyor.
Kümenin, IIS sunucularını hedef alan GhostRedirector, Operation Rewrite ve UAT-8099 gibi Çinli tehdit aktörlerinden oluşan uzun bir listeye eklenen en son üye olduğunu ve bu tür faaliyetlerde bir artış olduğunu belirtmekte fayda var.
Fransız siber güvenlik şirketi, “Kötü niyetli operatörler ana dil olarak Çince kullanıyor ve arama motoru optimizasyonunu (SEO) desteklemek için güvenlik açıklarından yararlanıyor gibi görünse de, konuşlandırılan modülün, herhangi bir tarafın etkilenen sunucularda komutları uzaktan yürütmesine olanak tanıyan kalıcı ve kimliği doğrulanmamış bir kanal sunduğunu fark ettik.” dedi.