Birkaç fidye yazılımı aktörü, Kir Hassas verileri çalmak ve tehlikeye atılan ana bilgisayarlar üzerinde uzaktan kumanda oluşturmak için sisonlama sonrası çabalarının bir parçası olarak.
Hacker News’e verdiği demeçte, “Skitnet, Nisan 2024’ten beri rampa gibi yeraltı forumlarında satıldı.” “Ancak, 2025’in başından beri, gerçek dünya saldırılarında kullanan birden fazla fidye yazılımı operatörünü gözlemledik.”
“Örneğin, Nisan 2025’te, Black Basta, kurumsal ortamları hedefleyen takım temalı kimlik avı kampanyalarında Skitnet’ten yararlandı. Gizli özellikleri ve esnek mimarisi ile Skitnet, fidye yazılımı ekosisteminde hızla çekiş kazanıyor gibi görünüyor.”
Kirayrıca BossnetLarva-306 adı altında şirket tarafından izlenen bir tehdit oyuncusu tarafından geliştirilen çok aşamalı bir kötü amaçlı yazılımdır. Kötü niyetli aracın dikkate değer bir yönü, DNS üzerinden bir ters kabuk başlatmak ve algılamadan kaçmak için Rust ve NIM gibi programlama dillerini kullanmasıdır.
Ayrıca kalıcılık mekanizmaları, uzaktan erişim araçları, veri açığa çıkma komutları ve hatta ek yükler sunmak için kullanılabilen bir .NET yükleyici ikili indirerek çok yönlü bir tehdit haline getirir.
İlk olarak 19 Nisan 2024’te ilan edilen Skitnet, potansiyel müşterilere bir sunucu bileşeni ve kötü amaçlı yazılım içeren bir “kompakt paket” olarak sunulmaktadır. İlk yürütülebilir ürün, NIM’de derlenmiş gömülü bir yükü çözen ve çalıştıran bir pas ikilidir.
“Bu NIM ikilisinin birincil işlevi, C2 ile ters kabuk bağlantısı kurmaktır. [command-and-control] Sunucu DNS çözünürlüğü, “dedi.
NIM tabanlı ikili, 10 saniyede bir DNS isteği göndermek, DNS yanıtlarını okumak ve ana bilgisayarda yürütülecek komutları çıkarmak ve komutun yürütülmesinin sonuçlarını sunucuya iletmek için birden fazla iş parçacığı başlatır. Komutlar, enfekte ana bilgisayarları yönetmek için kullanılan bir C2 paneli üzerinden verilir.
Desteklenen PowerShell komutlarından bazıları aşağıda listelenmiştir –
- Kurbanın cihazının başlangıç dizininde kısayollar oluşturarak kalıcılığını sağlayan startup
- Kurbanın masaüstünün bir ekran görüntüsünü yakalayan ekran
- AnyDesk veya uzak yardımcı programlar (“rutserv.exe”) gibi meşru bir uzak masaüstü yazılımı dağıtan AnyDesk/Rutserv
- Shell, uzak bir sunucuda barındırılan PowerShell komut dosyalarını çalıştırmak ve sonuçları C2 sunucusuna geri göndermek
- Yüklü güvenlik ürünlerinin bir listesini toplayan AV
“Skitnet, birden fazla programlama dilinden ve şifreleme tekniklerinden yararlanan çok aşamalı bir kötü amaçlı yazılımdır.” Dedi. Diyerek şöyle devam etti: “Yükü şifre çözme ve manuel haritalama için pas kullanarak, ardından DNS üzerinden iletişim kuran NIM tabanlı bir ters kabuk, kötü amaçlı yazılım geleneksel güvenlik önlemlerinden kaçmaya çalışır.”
Açıklama, Zscaler Tehditlabz, bir Amerikan hukuk firmasını hedefleyen Morpheus adlı bir fidye yazılımı suşu sunmak için kullanılan başka bir kötü amaçlı yazılım yükleyicisini detaylandırdı.
En azından Şubat 2025’ten beri aktif olan TransferLoader, üç bileşen, bir indirici, bir arka kapı ve arka kapı için özel bir yükleyici içeriyor ve tehdit aktörlerinin tehlikeye atılan sistemde keyfi komutlar yürütmesini sağlıyor.
İndirici bir C2 sunucusundan bir yük getirecek ve yürütmek ve aynı anda bir PDF tuzak dosyası çalıştırmak için tasarlanmış olsa da, arka kapı sunucu tarafından verilen komutları çalıştırmaktan ve kendi yapılandırmasını güncellemekten sorumludur.
Siber güvenlik şirketi, “Backdoor, komut ve kontrol (C2) sunucusunun güncellenmesi için bir geri dönüş kanalı olarak merkezi olmayan belgeler arası dosya sistemi (IPFS) eşler arası platformu kullanıyor.” Dedi. “Transferloader geliştiricileri, ters mühendislik sürecini daha sıkıcı hale getirmek için gizleme yöntemleri kullanıyor.”