Çinli siber casusluk grupları, devlet bağlantılı siber aktörlerin oluşturduğu kalıcı ve gelişen tehdidin altını çizerek, uluslararası politika oluşturmayla bağlantılı ABD kuruluşlarını hedef alma konusundaki kararlılıklarını ve teknik becerilerini bir kez daha gösterdi.
Kanıtlar, saldırganların hedeflerinin ağında gizli ve kalıcı bir varlık kurmaya çalıştıklarını gösteriyor.
İlk ihlalden önce, 5 Nisan 2025’te Atlassian OGNL Injection (CVE-2022-26134), Log4j (CVE-2021-44228), Apache Struts (CVE-2017-9805) ve GoAhead RCE (CVE-2017-17562) gibi güvenlik açıklarına yönelik istismarlar kullanılarak yapılan toplu bir tarama gerçekleştirildi.
Nisan 2025’te politika savunuculuğu alanında faaliyet gösteren önde gelen ABD’li kar amacı gütmeyen bir kuruluşa karşı gözlemlenen en son saldırı, Kelp, Space Pirates ve kötü şöhretli APT41 gibi Çinli hack grupları arasındaki gelişmiş tekniklerin ve paylaşılan araçların altını çiziyor.
Faaliyetleri, özellikle 192.0.0.88’deki bir sisteme odaklanarak hem internet bağlantısını hem de dahili ağ erişimini test eden şüpheli komutların artmasıyla 16 Nisan’da yeniden başladı. Hem teknik uyarlanabilirliği hem de belirli dahili kaynaklara erişim kararlılığını yansıtan çok sayıda protokol ve bağlantı yöntemi kullanıldı.
Bağlantı testlerinin hemen ardından tehdit aktörleri, ağ keşfi için netstat gibi araçlardan yararlandı ve Windows komut satırı aracı şemalarını kullanarak yinelenen, planlanmış bir görev oluşturdu.
Bu görev, meşru bir MSBuild.exe uygulamasını yürüttü ve bu uygulama da, csc.exe’ye kod eklemek için outbound.xml dosyasını işleyerek sonunda bir komut ve kontrol sunucusuna bağlandı.
Atılan adımlar, hem otomasyonun (zamanlanmış görevler aracılığıyla) hem de sistem düzeyindeki ayrıcalıkların kullanılmasıyla, riskin potansiyel hasarını ve karmaşıklığını artıran açık bir kalıcılık niyetine işaret ediyor.
Sergilenen araç seti ve teknikler, birçok Çinli casusluk grubunun ayırt edici özelliklerini taşıyordu. Saldırganlar, kötü amaçlı bir yük olan sbamres.dll’yi yüklemek için vetysafe.exe’yi (Sunbelt Software, Inc. tarafından imzalanan bir VipreAV bileşeni) kullanarak DLL yan yükleme olarak bilinen bir yöntemle yasal yazılım bileşenlerini silah haline getirdi.
Bu hassas teknik daha önce Uzay Korsanları ve Dünya Longzhi’ye atfedilen kampanyalarda kaydedilmişti; ikincisi bilinen bir APT41 alt grubuydu.
Özellikle aynı yaklaşımın Kelp (diğer adıyla Salt Typhoon veya Earth Estries) ile bağlantılı olaylarda da görülmesi Çin APT’leri arasında yaygın araç paylaşımı uygulamalarını gösteriyor.
Doğu Asya komut dosyası girişi için meşru bir Microsoft yardımcı programı olan Imjpuexc’in varlığı, Çin merkezli veya Çin’e bağlı aktörlere atfedilmesini daha da desteklemektedir.
Saldırganlar ayrıca, etki alanı denetleyicilerinin kimliğine bürünmek ve kimlik bilgilerini aktarmak için tasarlanmış, ayrıcalık yükseltmeye ve ağ çapında yatay harekete olanak tanıyan Dcsync aracının olası bir sürümünü de kullandı.
Tarihsel Bağlam ve Jeopolitik Etkiler
APT41, Çin’in en uzun süredir devam eden casusluk gruplarından biri olarak öne çıkıyor ve Asya-Pasifik ve Batı’daki yüksek değerli kuruluşları acımasızca hedeflemesiyle bilinen çok sayıda alt gruba yayılıyor.
Kelp, 2024 ABD başkanlık seçim döneminde ABD telekom ağlarına yaptığı kapsamlı saldırılarla ün kazanırken, Uzay Korsanları en az 2017’den beri aktif ve alışılmadık saldırı vektörleri ve Rus şirketlerine odaklanmalarıyla tanınıyor.
Bu kampanya daha büyük bir eğilimi yansıtıyor: Çin devletiyle bağlantılı aktörler, Çin’e yönelik politikaların şekillendirilmesinde yer alan yabancı kuruluşları alışkanlıkla izliyor ve onlara sızıyor.
Uzun vadeli ağ erişimi oluşturma çabaları, casusluk, istihbarat toplama ve stratejik nüfuz gibi uzun süredir devam eden hedefleri güçlendiriyor.
Çok sayıda tanınmış grup arasında standart araç ve tekniklerin sürekli kullanımı, yüksek düzeyde operasyonel işbirliğine ve kaynak paylaşımına işaret ederek, geleneksel güvenlik önlemlerini atlamalarına ve hedeflerinde kalıcı bir varlık sürdürmelerine olanak tanıyor.
ABD ile Çin arasındaki jeopolitik rekabet derinleştikçe, bu izinsiz girişler siber casusluğun uluslararası politikayı etkilemek ve stratejik istihbarat toplamak için merkezi bir araç haline geldiğinin açık bir hatırlatıcısı olarak hizmet ediyor.
Gizlilik, teknik gelişmişlik ve ortak uzmanlığın birleşimi sayesinde Çinli tehdit grupları, küresel diplomasiyi ve güvenliği tanımlayan tartışmaları şekillendirmeye kararlı zorlu rakipler olmaya devam ediyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.