Arctic Wolf Labs, Patchwork veya Quilted Tiger olarak da bilinen Fil Gelişmiş İleri Kalıcı Tehdit (APT) Grubuna atfedilen ve hassas rehberli füze sistemlerinde uzmanlaşmış Türk Savunma Yüklenicileri’ne odaklanan sofistike bir siber-ihale operasyonunu ortaya çıkardı.
Temmuz 2025’te aktif operasyonlara başlayan kampanya, İstanbul’daki “İnsansız Araç Sistemleri Konferansı 2025” e davet olarak maskeleyen kötü niyetli LNK dosyaları içeren mızrak aktı e-postaları ile başlatılan beş aşamalı bir yürütme zinciri kullanıyor.
Bu cazibeler, DLL yan yükleme teknikleri aracılığıyla savunma kaçakçılığı için VLC Media Player ve Microsoft görev zamanlayıcısı gibi meşru ikili dosyaları kullanarak, grubun Kasım 2024’te gözlemlenen önceki X64 DLL varyantlarından daha akıcı X86 PE yürütülebilir ürünleri optimize edilmiş komut yapıları ve indirimli kütüphane bağımlılıkları ile işaret eder.
Ortaya çıkan siber-ihale kampanyası
Saldırının zamanlaması, yoğunlaştırılmış Türkiye-Pakistan savunma işbirlikleri ve Hindistan-Pakistan askeri gerginliklerini artırarak, nato-etkileşimli teknolojiler ve hipersonik füze yetenekleri üzerinde stratejik zeka toplamak için jeopolitik olarak motive olmuş bir çaba gösteriyor.
Saldırı zincirinde, kötü amaçlı LNK dosyası, alan expouaV’den beş bileşeni indiren bir PowerShell komut dosyasını tetikler[.]Org, 25 Haziran 2025’te, meşru waset.org konferans sitesini taklit eden.
Bunlar, dikkat dağınıklığı için bir tuzak PDF, vlc.exe olarak yeniden adlandırılan meşru bir VLC yürütülebilir dosyası, kabuk kodu yüklemesi için kötü amaçlı bir DLL (libvlc.dll), yeniden adlandırılan bir Microsoft görev zamanlayıcısı (winver.exe) ve vlc.log olarak kaydedilen şifreli shellcode içerir.
Süreç, VLC’yi DLL’yi yan yüklemek için yürüterek, kabuk kodunu sert kodlanmış bir anahtar kullanarak şifresini çözen “NewErrorReport” adlı planlanmış bir görevle kalıcılık oluşturur (“76bhu93fgrjzx5hj876bhu93fgrjx5”).
SHA-256 8B6ACC087E403B913254DD7D99F09136151120D34D1C2 ile şifre çözülmüş X86 PE yükü yükü, Ghjghkj), ghjghkj), ghjghkj), ghjghkj), ghjghkj), ghjghkj), ghjghkj), ghjgghkj), ghjgghkj), ghjghkj), ghjghkj), systemes ve to to to to to to shourne gibi keşifler gerçekleştiriyor ve arıyor ve queting ve to shonging systemane gibi keşifler gerçekleştiriyor. Sandbox kaçırma ve ekran görüntüleri için ekran görüntüleri için.
Ağ iletişimi, Mozilla/5.0 kullanıcı ajanlarını kullanarak meşru trafikle harmanlanır, komut ve kontrol (C2) sunucusu Roseserve[.]Org, 23 Haziran 2025’te kayıtlı olan ve İran VPS satıcısı Avanetco’ya bağlı ABD/GB altyapısında düzenlenen Türk pardus linux projesini taklit ediyor.
Teknik evrim
Önceki yinelemelerle karşılaştırıldığında, bu varyant mimari kaymalar yoluyla gelişmiş operasyonel güvenlik, ‘$’ sınırlayıcılarla Strtok () aracılığıyla C2 ayrıştırma için ham kod ve ekran görüntüleri için “3sc3”, cmd.exe yürütme için “3GJDFGHJ6” ve queueuserapc kullanılarak kabuk enjeksiyonu için “3APC3” gibi komutlar gösterir.
Altyapı analizi, Roseserve ile iki aylık bir hazırlık zaman çizelgesi ortaya çıkarır[.]Org, pardus cephesini benimsemeden önce bir Türk haber ajansını kısaca taklit ederek, grubun kültürel farkındalığının ve Pester.bat gibi LOL-OF-LOD-OF-LOLBA’ların (lolbas) kullanılmasının altını çizdi.
Rapora göre, Arctic Wolf, bu taktiklere karşı koymak için Aurora platformuna yeni tespitleri entegre etmiştir, mızrak avlanmasına yönelik kullanıcı eğitimi, en az ayrıcalık prensiplerine bağlı ağ segmentasyonu, düzenli yama, uç nokta tespiti ve yanıt (EDR) ve bağlamsal siber tehdit istihbaratını (CTI) öngörülen jeopolitik olarak saldırı için öngörmektedir.
Riskleri azaltmak için, savunma sektörlerindeki kuruluşlar güvenli e -posta ağ geçitlerine, lolbas engelleme için Windows Defender uygulama kontrolüne ve 7/24 izleme için yönetilen algılama ve yanıt (MDR) hizmetlerine öncelik vermelidir.
Bu kampanya, filin optimize edilmiş, casusluk odaklı araçlara kaymasını vurgulayarak, küresel varlıkları savunma, enerji ve sosyal mühendislik hassasiyetine sahip hükümeti hedefliyor.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge | Tanım |
|---|---|---|
| Dosya | 341F27419BECC456B52D6FBE2D223E8598065AC596FA8DEC23C722726A28F62 | Unmanned_vehicle_systems_conference_2025_in_istanbul.lnk (kötü niyetli LNK) |
| Dosya | 588021b5553838fae5498de40172d045b5168c8e6608b8929a7309fd0abfaa93 | Unmanned_vehicle_systems_conference_2025_in_istanbul.pdf (tuzak pdf) |
| Dosya | 2cd2a4f1fc7e4b621b29d41e42789c1365e5689b4e3e8686b80f80268e2c0d8d | Lake (libvlc.dll, kötü niyetli DLL) |
| Dosya | 89C9F19958A442E9E3DD5C96562C6129132F3ACB539A6B919C15830F403553 | vlc.log (şifreli kabuk kodu) |
| Dosya | 8B6ACC087E403B913254D7D99F09136DC54FA45CF3029A856151120D1C2 | Şifre çözülmüş kabuk kodu (x86 pe yükü) |
| Planlanan görev | SAPS “C: \ Windows \ Görevler \ Winver” -a “/Create”, ‘/sc’, ‘dakika’, ‘/tn’, ‘newerrorreport’, ‘/tr’, “c: \ windows \ görevler \ vlc”, ‘/f’; | Kalıcılık mekanizması |
| Ağ | Expouav[.]org | Etki Alanını İndir |
| Ağ | gül[.]org | C2 Sunucusu |
| Mutant nesne | Oturumlar \ 1 \ BasenamedObjects \ Ghjghkj | Örneğin muteks kontrol |
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!