Güney Koreli yetkililer, yüksek profilli bireyleri ve finansal kurumları hedefleyen en sofistike hack operasyonlarından birini düzenlediğinden şüphelenilen Çinli bir ulusal bir ulusal olarak başarılı bir şekilde iade ettiler.
Sadece Bay G olarak tanımlanan 34 yaşındaki şüpheli, 22 Ağustos 2025’te Bangkok, Tayland’dan, kurbanların finansal ve sanal varlık hesaplarından 38 milyardan fazla kazandığı iddia edildiği için tutuklanmasıyla sonuçlanan dört aylık bir uluslararası insan avının ardından geri gönderildi.
Öncelikle Tayland’da denizaşırı ofislerden faaliyet gösteren suç örgütü, Ağustos 2023’ten Ocak 2024’e kadar süren karmaşık bir çok vektör saldırısı kampanyası yürüttü.
Grubun birincil metodolojisi, varlıklı bireylerden, ünlülerden, şirket yöneticilerinden ve girişim şirket temsilcilerinden kişisel bilgileri toplamak için mobil taşıyıcı web sitelerine ve diğer web platformlarına sızmayı içeriyordu.
Bu çalınan verileri kullanarak, bilgisayar korsanları mağdurların bankacılık hesaplarına ve kripto para cüzdanlarına yetkisiz erişim elde etti ve aylarca tespit edilmeden varlıkları sistematik olarak aktardı.
İlk araştırmalar, kötü amaçlı yazılımın web uygulaması güvenlik açıklarının teknik kullanımı ile birlikte sofistike sosyal mühendislik teknikleri kullandığını ortaya koymuştur.
Moj.go.kr analistleri, saldırı modelini, geleneksel güvenlik izleme sistemlerinden kaçınırken finansal çıkarmayı en üst düzeye çıkarmak için hem otomatik araçları hem de manuel müdahaleyi kullanan koordineli bir çaba olarak tanımladılar.
.webp)
Operasyonun teknik karmaşıklığı, mobil taşıyıcı kimlik doğrulama sistemlerindeki güvenlik açıklarından yararlanmaya dayanan çok aşamalı enfeksiyon mekanizması ile belirginleşti.
Kötü amaçlı yazılım başlangıçta, saldırganların kullanıcı kimlik bilgilerini ve oturum belirteçlerini toplamak için tasarlanmış kötü amaçlı komut dosyaları enjekte ettiği tehlikeye atılmış web portalları aracılığıyla giriş kazandı.
Ağ çevresinin içine girdikten sonra, kötü niyetli kod, uzun vadeli erişimi sürdürmek için şifreli iletişim kanallarını kullanarak kalıcı arka kapı kurdu.
Bu tehdit oyuncusu tarafından kullanılan kalıcılık taktikleri, sistem yönetimi ve ağ güvenlik protokolleri hakkında ileri düzeyde bilgi verdi.
Kötü amaçlı yazılım, sistem yeniden başlatmalarında sürekli çalıştırmayı sağlamak için kayıt defteri modifikasyonlarının ve planlanmış görev oluşturmanın bir kombinasyonunu kullanmıştır.
Kod analizi, düzenli aralıklarla yürütülen, ağ bağlantısını kontrol eden ve komut ve kontrol sunucusu adreslerini dinamik olarak güncelleyen gizlenmiş PowerShell komut dosyalarının kullanımını ortaya çıkardı.
$encoded = [System.Convert]::FromBase64String($data)
$decoded = [System.Text.Encoding]::UTF8.GetString($encoded)
Invoke-Expression $decodedTespit kaçınma mekanizmaları, çevre kontrolü, kum havuzu tespiti ve çalışma zamanı paketleme gibi anti-analiz tekniklerinin uygulanmasını içeriyordu.
Kötü amaçlı yazılım, dosya imzalarını sürekli olarak değiştirdi ve normal sistem işlemleri olarak görünürken kötü amaçlı etkinlikler yürütmek için PowerShell ve Windows Management enstrümantasyonu gibi meşru sistem araçlarını kullanarak arazi yaşamı tekniklerini kullandı.
Başarılı iade, uluslararası siber suç işbirliği için önemli bir zaferi temsil ediyor, Koreli yetkililer Tayland yetkilileri, Interpol ve Güneydoğu Asya İşbirliği Ağı ile yakın işbirliği içinde Tayland’a girdikten sonraki dört ay içinde şüpheliyi izlemek ve yakalamak için.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.