Çin’le bağları olan bir tehdit aktörünün, bir Rus BT hizmet sağlayıcısını hedef alan beş ay süren bir saldırıyla ilişkilendirildiği ve bu, bilgisayar korsanlığının Güneydoğu Asya ve Güney Amerika’nın ötesinde ülkeye yayıldığı anlamına geliyor.
Ocak-Mayıs 2025 arasında gerçekleşen faaliyet, Broadcom’un sahibi olduğu Symantec tarafından takip ettiği bir tehdit aktörüne atfedildi. Mücevher böceğiCL-STA-0049 (Palo Alto Networks Unit 42), Earth Alux (Trend Micro) ve REF7707 (Elastic Security Labs) olarak bilinen kümelerle örtüştüğünü söyledi.
Bulgular, Moskova ile Pekin arasında yıllar içinde artan “askeri, ekonomik ve diplomatik” ilişkilere rağmen Rusya’nın Çin’in siber casusluk operasyonlarına kapalı olmadığını gösteriyor.
Symantec Tehdit Avcısı Ekibi, The Hacker News ile paylaşılan bir raporda, “Saldırganların, şirketin Rusya’daki müşterilerini hedef alan tedarik zinciri saldırıları gerçekleştirmek için potansiyel olarak yararlanabilecekleri kod depolarına ve yazılım oluşturma sistemlerine erişimi vardı.” dedi. “Saldırganların verileri Yandex Cloud’a sızdırması da dikkate değer.”
Earth Alux’un, VARGEIT ve COBEACON (diğer adıyla Cobalt Strike Beacon) gibi kötü amaçlı yazılımlar dağıtmak üzere Asya-Pasifik (APAC) ve Latin Amerika (LATAM) bölgelerindeki hükümet, teknoloji, lojistik, üretim, telekomünikasyon, BT hizmetleri ve perakende sektörlerini hedef alan saldırılarla, 2023’ün en az ikinci çeyreğinden bu yana aktif olduğu değerlendiriliyor.
Öte yandan CL-STA-0049/REF7707 tarafından gerçekleştirilen saldırıların, hem Windows hem de Linux sistemlerine bulaşabilen FINALDRAFT (diğer adıyla Squidoor) adlı gelişmiş bir arka kapıyı dağıttığı gözlemlendi. Symantec’in bulguları, bu iki etkinlik kümesinin ilk kez birbirine bağlandığını gösteriyor.
Rus BT hizmet sağlayıcısını hedef alan saldırıda Jewelbug’un, Microsoft Console Debugger’ın (“cdb.exe”) yeniden adlandırılmış bir sürümünden yararlandığı söyleniyor; bu sürüm, kabuk kodunu çalıştırmak ve uygulama izin verilenler listesini atlamak, yürütülebilir dosyaları başlatmak, DLL’leri çalıştırmak ve güvenlik çözümlerini sonlandırmak için kullanılabilir.
Tehdit aktörünün ayrıca kimlik bilgilerini boşalttığı, zamanlanmış görevler aracılığıyla kalıcılık sağladığı ve Windows Olay Günlüklerini temizleyerek etkinliklerinin izlerini gizlemeye çalıştığı da gözlemlendi.
BT hizmet sağlayıcılarının hedeflenmesi stratejiktir çünkü olası tedarik zinciri saldırılarına kapı açar ve tehdit aktörlerinin, kötü amaçlı yazılım güncellemeleri aracılığıyla birden fazla alt müşteriyi aynı anda ihlal etmek için bu güvenlik açığından yararlanmasına olanak tanır.
Dahası, Jewelbug’un Temmuz 2025’te Güney Amerika’daki büyük bir hükümet kuruluşuna yapılan, daha önce belgelenmemiş ve geliştirilme aşamasında olduğu söylenen bir arka kapıyı kullanan bir izinsiz girişle de bağlantısı bulunuyor; bu da grubun gelişen yeteneklerinin altını çiziyor. Kötü amaçlı yazılım, komut ve kontrol (C2) için Microsoft Graph API’sini ve OneDrive’ı kullanıyor ve sistem bilgilerini toplayabilir, hedeflenen makinelerdeki dosyaları numaralandırabilir ve bilgileri OneDrive’a yükleyebilir.
Microsoft Graph API’nin kullanılması, tehdit aktörünün normal ağ trafiğine uyum sağlamasına olanak tanır ve minimum düzeyde adli eser bırakır, olay sonrası analizi karmaşıklaştırır ve tehdit aktörlerinin bekleme süresini uzatır.
Diğer hedefler arasında Güney Asya merkezli bir BT sağlayıcısı ve Ekim ve Kasım 2024’te Tayvanlı bir şirket yer alıyor; bu şirkete, yalnızca Çinli bilgisayar korsanlığı grupları tarafından kullanılan bir arka kapı olan ShadowPad de dahil olmak üzere kötü amaçlı yükleri düşürmek için DLL yandan yükleme tekniklerinden yararlanan saldırı.
Bulaşma zinciri aynı zamanda güvenlik yazılımını devre dışı bırakmak için KillAV aracının konuşlandırılması ve kendi savunmasız sürücünüzü getir (BYOVD) saldırısı gibi görünen bir saldırının parçası olarak ECHOAC hile önleme sürücüsündeki çekirdek okuma/yazma güvenlik açığının kötüye kullanılmasına izin veren EchoDrv adlı halka açık bir aracın konuşlandırılmasıyla da karakterize edilir.
Ayrıca, kimlik bilgilerini boşaltmak için LSASS ve Mimikatz, keşif ve ayrıcalık yükseltme için PrintNotifyPotato, Coerced Potato ve Sweet Potato gibi ücretsiz olarak kullanılabilen araçlar ve Gelsemium ve Lucky Mouse gibi Çinli bilgisayar korsanlığı ekipleri tarafından kullanılan EarthWorm adlı bir SOCKS tünel açma yardımcı programı da kullanıldı.
Symantec, “Jewelbug’un operasyonlarında bulut hizmetlerini ve diğer meşru araçları kullanma tercihi, radar altında kalmanın ve kurban ağlarında gizli ve kalıcı bir varlık oluşturmanın bu grup için son derece önemli olduğunu gösteriyor.” dedi.
Reuters’in haberine göre bu açıklama, Tayvan Ulusal Güvenlik Bürosu’nun Çin’in hükümet departmanlarını hedef alan siber saldırılarında artış olduğu konusunda uyarıda bulunması ve Pekin’in “çevrimiçi trol ordusunu” sahte içeriği sosyal ağlar üzerinden yaymaya ve insanların hükümete olan güvenini baltalamaya ve ABD’ye güvensizlik yaratmaya çalıştığı için uyarmasının ardından geldi.