Dark Partners olarak bilinen finansal olarak yönlendirilen kuruluş, en azından Mayıs 2025’ten bu yana, AI araçları, VPN hizmetleri, kripto para cüzdanları ve tanınmış yazılım markaları olarak poz veren karmaşık bir ağ kullanarak büyük kripto para hırsızlığı planlıyor. Bu, hızla gelişen bir siber suç operasyonunun bir parçasıdır.
SEO zehirlenmesi ve sosyal mühendislik taktikleri aracılığıyla dağıtılan bu sahte web siteleri, Poseidon Stealer’ı macOS’a ve Windows sistemlerinde maaş günü yükleyicisine dağıtmak için birincil enfeksiyon vektörleri olarak hizmet vermektedir.
Poseidon Stealer, kripto para birimi cüzdanlarının, kimlik bilgilerinin ve hassas verilerin ortaya çıkmasını sağlarken, kalıcılık için lansman ajanları ve planlanan görevler kullanır, maaş günü yükleyici, dayanıklı ve modüler yükleri korumak için PowerShell komut dosyalarını ve sanal sabit diskleri kullanır.
Grubun küresel olarak dağıtılmış komuta ve kontrol (C2) sunucuları da dahil olmak üzere altyapısı, özellikle kripto para birimi, blok zinciri, teknoloji, finansal hizmetler ve VPN sektörlerine odaklanarak ABD, Avrupa Birliği, Rusya, Kanada ve Avustralya’daki kurbanlardan verimli veri hasatını kolaylaştırıyor.
Siber güvenlik araştırmacısı G0NJXA tarafından adlandırılan Dark Partners, ulus devlet aktörleriyle veya ileri süren tehditlerle (APT’ler) doğrudan bir bağ göstermez, bunun yerine yeraltı pazarlarında çalınan varlıkların satışı yoluyla finansal kazanca öncelik verir.
Hızlı adaptasyon yakıtı devam eden tehdit
Dark Partners’ın teknik karmaşıklığı, otomatik analiz ortamlarını engelleyen sandından anti-sandBoxing mekanizmalarıyla birleştiğinde, uç nokta algılama ve yanıt (EDR) sistemlerini atlamak için çalıntı kod imzalama sertifikalarını kullanımında belirgindir.
Payday Paneli, modüler kötü amaçlı yazılım dağıtımı için merkezi bir yönetim platformu olarak hizmet eder ve operatörlerin yükleri dinamik olarak uyarlamasına ve en az 37 taklidi markada operasyonları ölçeklendirmesine olanak tanır.
Tarihsel telemetri, Haziran 2025’te genişletilmiş sahte site ağları ile yükselen kampanyaların, ardından sertifika iptalleri nedeniyle Temmuz ayında geçici bir kesintiyi izliyor, ancak grubun yeni sertifikalar tedarik ederek ve filessiz kötü amaçlı yazılımlar ve yaşama ikilisi (lolbins) gibi gelişmiş kaçırma tekniklerini dahil etmesi bekleniyor.
Davranışsal göstergeler arasında pencerelerde anormal PowerShell kalıcılığı, macOS’ta şüpheli fırlatma aracısı etkinliği ve bilinen C2 altyapısına ağ trafiği, sürekli izleme ihtiyacının ve dinamik uzlaşma (IOC)-tahrikli kontrollerin olduğunu vurgulayan.
Çok katmanlı savunmalar
Bu tehdide karşı koymak için kuruluşlar, davranışsal analizlerle gelişmiş EDR çözümleri uygulamalı, katı sertifika doğrulama protokollerini uygulamalı ve kötü amaçlı yazılım teslimatını ve C2 iletişimlerini bozmak için gelişen IOC’lere uyum sağlayan ağ kontrollerini dağıtmalıdır.
Rapora göre, kripto ve DEFI platformları da dahil olmak üzere hedeflenen sektörler, kullanıcı farkındalık eğitimine öncelik vermeli ve sosyal mühendislik risklerini azaltmak için simüle edilmiş kimlik avı egzersizlerine öncelik vermelidir, çünkü bunlar grubun temel saldırı türleri olarak kalır.
İleriye baktığımızda, Dark Partners, AI tarafından üretilen cazibeler ve NFT ekosistemlerinin genişletilmiş hedeflemesi ile taktikleri yoğunlaştırmaya hazırlanıyor, bu da siber güvenlik toplulukları arasında istihbarat paylaşımı ve TTP’lerine karşı savunmaları doğrulamak için kırmızı ekip simülasyonları gerektiriyor.
Grubun ölçeklenebilir işlemleri dijital varlık güvenliği için küresel bir risk oluşturmaya devam ettiği için sertifika anomalileri ve kalıcılık mekanizmaları izlenerek erken tespit kritik olmaya devam etmektedir.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.