Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
Sofistike Siber Teslim Kampanyası Hedefler Asya Telekomu, Üretim Sektörleri
Prajeet Nair (@prajeaetspeaks) •
25 Eylül 2025
Çin ulus-devlet hacklemesinin temelli uzaktan erişim Truva atı, orta ve Güney Asya ülkelerinde telekom ve üretim sektörlerini hedefleyen devam eden bir kampanyanın bir parçasıdır.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Tehdit Intel firması Cisco Talos’taki araştırmacılar, Çin Hacking Hotspot Chengdu’da bulunan Halk Kurtuluş Ordusu’nun bir birimine kampanyayı orta güvenle nitelendiriyor (bakınız: Sophos yarım on yıllık sürekli Çin saldırısını açıklıyor).
Araştırmacılar, Naikon olarak izlenen tehdit oyuncusu, yeni bir yapılandırmada yeni bir yapılandırmada yeni bir yapılandırmada yeni bir PLAGX kötü amaçlı yazılım varyantına erişebiliyor.
Kampanya 2022’den beri aktif. Plugx kötü amaçlı yazılım 2008’den beri dolaşımda ve 2015 yılında ABD Personel Yönetimi Ofisi’ne ve 2022’de Avrupa diplomatik ajanslarına karşı da dahil olmak üzere bir dizi kayda değer hack’lerde yer alıyor. Bazı Çin siber yargı grupları da bunu konuşlandırıyor. Ocak ayında ABD federal kolluk kuvvetleri, Amerika Birleşik Devletleri merkezli bilgisayarlardan 4.000’den fazla PLAGX örneğinin silindiğini duyurdu (bkz: FBI 4.000’den fazla Plugx kötü amaçlı yazılım örneğini siler).
Cisco Talos araştırmacıları, backdoordiplomasi olarak izlenen başka bir Çin siber yemek hackleme grubu tarafından konuşlandırılan Plugx konfigürasyonu, hedefleme kalıpları ve diğer iki arka plan, Rainyday ve Turian arasındaki benzerliklere dayanarak kampanyayı Naikon’a bağladı. Talos araştırmacıları, “Naikon ve backdoordiplomasi kampanyalarında gözlenen, bu kampanyalardan etkilenen benzer ülkeler ve endüstrilerde olası bir bağlantıyı gösterebilecek tutarlı hedefleme kalıpları var.”
Her iki grup da Kazakistan’da meydana gelen Naikon’a atfedilebilen tehdit faaliyeti ile telekoma odaklanıyor. Komşu Özbekistan, backdoordiplomasi saldırılarının yeri olmuştur. Diyerek şöyle devam etti: “Ayrıca, Güney Asya ülkelerini hedefleyen Naikon hem de Backdoordiplomasi gözlendi.”
Plugx varyantı, yağmurlu ve turian yükleyicileri ve kabuk kodu yapısı, aynı RC4 tuşları ve kötü amaçlı yazılım yüklerini çözmek için aynı algoritma dahil olmak üzere önemli benzerlikler gösterir. Her üç kötü amaçlı yazılım ailesi de DLL arama siparişi kaçırma yoluyla yürütülür. Tehdit aktörleri, hızlı iyileşme teknolojilerinden kötü niyetli kodları belleğe yüklemek için meşru bir mobil açılır uygulamayı kötüye kullanıyor.
Üç backroor, kontrol akışı düzleştirme ve API karma dahil olmak üzere anti-analiz teknikleri kullanır.
Teknik analiz, incelenen tüm Plugx Backdoor yüklerinde gömülü anahtar kaydedici işlevselliği ortaya koydu. Talos, 2022 boyunca aktif anahtar kaydedici dosya üretimini gösteren zaman damgaları gözlemledi ve kütükler bir kurbanın 2022 sonundan Aralık 2024’e kadar tehlikeye atıldığını gösteriyor.
Talos, Naikon tehdit aktörlerinin backdoordiplomacy hacker’larıyla bağlantısı olması veya araçlarını aynı satıcıdan tedarik ettikleri mümkündür.
Çin, büyük sayıda özel sektör müteahhitini içeren siber boyama için alışılmadık bir askeri ve sivil bilgisayar korsanına güveniyor. Temmuz ayında yayınlanan bir çalışma, Çin hacklemesinde görülen tekrarlayan araç ve tekniklerin bir nedeninin, 1990’ların sonlarının ve 2000’lerin başında “vatansever hackleme” sahnesinden ortaya çıkan ve beijing’e hackleme hizmetleri sağlayan birçok özel sektör firmalarının çoğunu bulmaya devam eden etkili bir hacker kadrosu olduğunu ortaya koydu (bkz: Çinli bilgisayar korsanlarının vandallardan stratejistlere evrimi).