Zscaler tehdidi, Tibcert ile işbirliği içinde, Çin-Nexus Gelişmiş Kalıcı Tehdit (APT) grubuna yüksek güvenle atfedilen Ghostchat ve Phantomprayers Operasyonu olarak adlandırılan iki bağlantılı saldırı kampanyasını ortaya çıkardı.
Bu operasyonlar, 6 Temmuz 2025’te Dalai Lama’nın 90. doğum gününü çevreleyen artan çevrimiçi etkinliklerden yararlanarak Tibet topluluğunu hedef aldı.
Siber casusluk için kültürel olaylardan yararlanmak
Saldırganlar, Tibetfund.org gibi meşru web sitelerini tehlikeye attı ve iyi huylu bağlantıları kötü amaçlı yönlendirmelerle değiştirerek NicCenter altındaki alt alanlara[.]Güvenilir platformları taklit eden net.

Bu sosyal mühendislik, kurbanları Tibet kültürel etkinlikleri etrafında temalı ve hayalet sıçan veya Phantomnet (Smaanager olarak da bilinir) backdoors’u kuran çok aşamalı enfeksiyon zincirlerini başlatarak truva atışlı yazılımları indirmeye teşvik etti.
Genellikle Çin devlet destekli aktörlerle ilişkili olan bu kötü amaçlı yazılım varyantları, sürekli erişim, veri açığa çıkma ve tehlikeye atılan Windows sistemlerinde komut yürütmeyi mümkün kıldı.
Kampanyalarda, uç nokta algılama ve yanıt (EDR) çözümlerini atlamak için DLL sideloading, kabuk kodu enjeksiyonu ve şifreli yükler dahil olmak üzere ileri kaçış teknikleri kullanıldı.
Ghostchat Operasyonu’nda kurbanlar, kötü niyetli bir ffmpeg.dll’yi açan meşru ama savunmasız bir element.exe içeren bir zip arşivi indirerek, eleman sohbet uygulamasını taklit eden sahte bir siteye yönlendirildi.

Bu aşama-1 yükleyici API’leri düşük seviyeli NT* ve RTL* fonksiyonlarını kullanarak dinamik olarak çözdü, diskten kullanıcı modu kancalarının üzerine yazmak için taze bir ntdll.dll eşleştirdi ve 32 bit Shellcode’u ImagingDevices.ex’e paylaşılan bellek bölümleri aracılığıyla enjekte etti.
Aşama-2 Yansıtıcı Yükleyici, C2 sunucusuyla 104.234.15’te iletişim kuran bir hayalet sıçan varyantını parçaladı ve yürüttü.[.]90: 19999 RC4 benzeri bir algoritma ile şifrelenmiş özel bir TCP ikili protokolü kullanılarak.
Ghost Rat’ın modüler eklentisi, config.dll, hepsi benzer varyantların analizinden türetilen dosya manipülasyonu, ekran yakalama, keyloglama, ses/video kaydı ve sistem kapanması için desteklenen komutlar.
Gelişmiş kötü amaçlı yazılım taktikleri
PhantomPrayers Operasyonu bu yaklaşımı yansıttı, ancak PYQT5 tabanlı bir yürütülebilir dosyası olan Dalailamacheckin.exe, “özel dua check-in” aracı olarak poz verdi.
Bu ikili, savunmasız bir VLC.exe ve kötü niyetli libvlc.dll’e %Appdata %\ doğum günü için gizli bir şekilde kopyalarken, meşruiyet hissetmek için folyum tarafından üretilen haritalarla bir GUI oluşturdu.
Kalıcılık bir başlangıç kısayolu ile kuruldu ve Aşamalı 1 yükleyici, bir .TMP dosyasından, bir aşama-2 yansıtıcı yükleyici ve fantomnet arka kapısına yol açan çift katmanlı şifreli kabuk kodu (RC4 ve ardından AES-128 CBC) şifresini çözdü.
45.154.12’ye bağlı fantomnet[.]93: 2233 AES ile şifreli trafiğe sahip TCP üzerinden, Operasyon SignSight gibi önceki kampanyalarda görüldüğü gibi, sistem bilgileri toplama ve zamanlanmış işlemler de dahil olmak üzere modüler işlevsellik için eklenti DLL’leri kullanıyor.
Çin APT gruplarına atfetme, Tibet diasporası üzerine odaklanan mağdurdan kaynaklanmaktadır, TA428 gibi aktörlerle bağlantılı hayalet sıçan ve fantomnet araçlarının özel kullanımı ve kod enjeksiyonu (T1055.002), T1106), doğal boşluklar (T10106) ve obfusced varyantları (TTP) ve prosedürler (TTP) ve prosedürler (TTP) ve prosedürler (TTP’ler).
Rapora göre, Zscaler’ın platformu bu tehditleri Win64.trojan.phantomnet ve win32.backdoor.Ghostrat olarak algılar ve DLL kaçırma için T1574.001 ve T1573.001 gibi MITER ATT & CK IDS ile hizalanır.
Bu işbirliği, APT’nin tedarik zinciri uzlaşmaları için kültürel hassasiyetlerden yararlanmasını vurgulamakta ve bu tür devlet destekli müdahalelere karşı koymak için sağlam web güvenliği ve kötü amaçlı yazılım analizi ihtiyacının altını çizmektedir.
Uzlaşma Göstergeleri (IOCS)
Tip | Gösterge |
---|---|
MD5 karma | 42D83A46250F78EF80F090D9D6C87 (TBElent.zip) |
Sha256 karma | 0AD483562B485F3A1D0702F945F1A3CF17E0A5D7579BEA165C1AFD1F8EA00 (TBElement.zip) |
Kötü niyetli alan | Thedalailama90.niccenter[.]açık |
Kötü niyetli alan | TBElement.nicCenter[.]açık |
Kötü niyetli alan | Beijingspring.niccenter[.]açık |
Kötü niyetli alan | Penmuseum.niccenter[.]açık |
Hayalet Sıçan C2 | 104.234.15[.]90: 19999 |
Phantomnet C2 | 45.154.12[.]93: 2233 |
Dosya Yolu | %appdata%\ doğum günü \ vlc.exe |
Dosya Yolu | %appdata%\ doğum günü \ libvlc.dll |
Enjekte edilmiş süreç | ImagingDevices.exe |
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now