Olarak bilinen kötü amaçlı yazılım GootLoader Huntress’in yeni bulgularına göre, bu Mart ayının başındaki aktivitede kısa bir yükselişin ardından yeniden ortaya çıktı.
Siber güvenlik şirketi, 27 Ekim 2025’ten bu yana üç GootLoader enfeksiyonu gözlemlediğini, bunlardan ikisinin, ilk enfeksiyondan sonraki 17 saat içinde etki alanı denetleyicisinin ele geçirilmesiyle uygulamalı klavye izinsiz girişleriyle sonuçlandığını söyledi.
Güvenlik araştırmacısı Anna Pham, “GootLoader geri döndü ve artık dosya adlarını gizlemek için özel WOFF2 yazı tiplerinden glif değiştirmeyle yararlanıyor” dedi ve kötü amaçlı yazılımın “dosya başına benzersiz anahtarlarla XOR şifreli ZIP yükleri sunmak için WordPress yorum uç noktalarından yararlandığını” ekledi.
Hive0127 (diğer adıyla UNC2565) olarak takip edilen bir tehdit aktörüne bağlı GootLoader, fidye yazılımı da dahil olmak üzere ek yükler sağlamak için genellikle arama motoru optimizasyonu (SEO) zehirleme taktikleri aracılığıyla dağıtılan, JavaScript tabanlı bir kötü amaçlı yazılım yükleyicisidir.
Geçtiğimiz Eylül ayında yayınlanan bir raporda Microsoft, Vanilla Tempest olarak adlandırılan tehdit aktörünün, GootLoader enfeksiyonlarından, tehdit aktörü Storm-0494 tarafından aktarıldığını ve erişimden yararlanarak Supper (diğer adıyla SocksShell veya ZAPCAT) adlı bir arka kapının yanı sıra uzaktan erişim için AnyDesk’i açtığını ortaya çıkardı. Bu saldırı zincirleri INC fidye yazılımının yayılmasına yol açtı.
Supper’ın aynı zamanda Interlock fidye yazılımıyla ilişkilendirilen başka bir kötü amaçlı yazılım olan Interlock RAT (diğer adıyla NodeSnake) ile birlikte gruplandırıldığını da belirtmekte fayda var. Foresecout geçen ay şunları kaydetti: “Interlock’un Supper’ı kullandığına dair doğrudan bir kanıt olmasa da, hem Interlock hem de Vice Society farklı zamanlarda Rhysida ile ilişkilendirildi ve bu da daha geniş siber suç ekosisteminde olası örtüşmelere işaret ediyor.”
Ardından, bu yılın başlarında, GootLoader’ın arkasındaki tehdit aktörünün, arama motorlarında anlaşmalar gibi yasal şablonlar arayan kurbanları, kötü amaçlı yazılım içeren ZIP arşivlerini barındıran, güvenliği ihlal edilmiş WordPress sitelerine yönlendirmek amacıyla Google Ads’ten yararlandığı ortaya çıktı.
Huntress tarafından belgelenen en son saldırı dizisi, Bing’de “missouri kamu hizmeti irtifak yolu” gibi terimlerin aranmasının, şüphelenmeyen kullanıcıları ZIP arşivini teslim etmeye yönlendirmek için kullanıldığını gösteriyor. Bu kez dikkat çeken şey, statik analiz yöntemlerini alt etmek amacıyla tarayıcıda görüntülenen dosya adlarını gizlemek için özel bir web yazı tipinin kullanılmasıdır.
Pham, “Dolayısıyla, kullanıcı dosya adını kopyalamaya veya kaynak kodunu incelemeye çalıştığında, ‛›μI€vSO₽*’Oaμ==€‚‚33O%33‚€×:O[TM€v3cwv’gibigaripkarakterlergörecek”dedi[TM€v3cwv”Phamexplained
“Ancak, kurbanın tarayıcısında işlendiğinde, aynı karakterler sihirli bir şekilde Florida_HOA_Committee_Meeting_Guide.pdf gibi mükemmel okunabilir metne dönüşüyor. Bu, Gootloader’ın, 32KB yazı tipini 40K’ya sıkıştıran bir Base85 çeşidi olan Z85 kodlamasını kullanarak doğrudan sayfanın JavaScript koduna yerleştirdiği özel bir WOFF2 yazı tipi dosyası aracılığıyla elde ediliyor.”
Ayrıca, ZIP dosyasını VirusTotal, Python’un ZIP yardımcı programları veya 7-Zip gibi araçlarla açıldığında zararsız görünümlü bir .TXT dosyası olarak açacak şekilde değiştiren yeni bir hile de gözlemlendi. Windows Dosya Gezgini’nde arşiv, amaçlanan yük olan geçerli bir JavaScript dosyasını çıkarır.
Uzun süredir kötü amaçlı yazılımı “GootLoader” takma adı altında takip eden bir güvenlik araştırmacısı, evrim hakkında şunları söyledi: “Bu basit kaçırma tekniği, yükün gerçek doğasını otomatik analizden gizleyerek aktöre zaman kazandırıyor.”
Arşivde bulunan JavaScript verisi, uzaktan kontrol ve SOCKS5 proxy kullanabilen bir arka kapı olan Supper’ı dağıtmak için tasarlandı. En az bir örnekte, tehdit aktörlerinin Etki Alanı Denetleyicisine yatay olarak geçmek ve yönetici düzeyinde erişime sahip yeni bir kullanıcı oluşturmak için Windows Uzaktan Yönetim’i (WinRM) kullandıkları söyleniyor.
Huntress, “Supper SOCKS5 arka kapısı, basit işlevselliği koruyan sıkıcı gizlemeyi kullanıyor – API çekiçleme, çalışma zamanı kabuk kodu oluşturma ve özel şifreleme, analiz baş ağrılarını artırıyor, ancak temel yetenekler kasıtlı olarak temel kalıyor: SOCKS proxy oluşturma ve uzaktan kabuk erişimi.” dedi.
“Bu ‘yeterince iyi’ yaklaşım, tehdit aktörlerinin, uygun şekilde gizlenmiş basit araçlar hedeflerine ulaştığında son teknoloji istismarlara ihtiyaç duymadıklarını kanıtlıyor.”