Siber güvenlik araştırmacıları, kötü amaçlı ISO optik disk görüntüleri aracılığıyla Phantom Stealer’ı dağıtan kimlik avı e-postalarıyla Rusya’da çok çeşitli sektörleri hedefleyen aktif bir kimlik avı kampanyasının ayrıntılarını açıkladı.
Seqrite Labs tarafından MoneyMount-ISO Operasyonu kod adı verilen faaliyet, öncelikli olarak finans ve muhasebe kuruluşlarını belirledi; satın alma, hukuk ve maaş bordrosu sektörlerindeki kuruluşlar ise ikincil hedefler olarak ortaya çıktı.
Siber güvenlik şirketi, “Bu kampanya, Phantom’un bilgi çalan kötü amaçlı yazılımını çok aşamalı bir bağlantı zinciri aracılığıyla dağıtmak için sahte bir ödeme onayı tuzağı kullanıyor” dedi.
Bulaşma zinciri, meşru finansal iletişim gibi görünen ve alıcıları yakın zamanda yapılan bir banka transferini onaylamaya teşvik eden bir kimlik avı e-postasıyla başlıyor. E-postanın ekinde, ek ayrıntılar içerdiği iddia edilen ancak bunun yerine başlatıldığında sisteme sanal bir CD sürücüsü olarak bağlanan bir ISO dosyası içeren bir ZIP arşivi bulunmaktadır.
ISO görüntüsü (“Banka transferi onayı.iso” veya “Banka transferi onayı.iso”), gömülü bir DLL (“CreativeAI.dll”) aracılığıyla Phantom Stealer’ı başlatmak için tasarlanmış bir yürütülebilir dosya görevi görür.
Phantom Stealer, Chromium tabanlı tarayıcılarda ve masaüstü cüzdan uygulamalarında yüklü olan kripto para cüzdanı tarayıcı uzantılarından, ayrıca kapma dosyalarından, Discord kimlik doğrulama belirteçlerinden ve tarayıcıyla ilgili şifrelerden, çerezlerden ve kredi kartı ayrıntılarından veri çıkarma yeteneğine sahiptir.
Ayrıca pano içeriğini izler, tuş vuruşlarını günlüğe kaydeder ve sanallaştırılmış, korumalı alan veya analiz ortamlarını tespit etmek için bir dizi kontrol gerçekleştirir ve eğer öyleyse, yürütülmesini iptal eder. Veri sızdırma, bir Telegram botu veya saldırgan tarafından kontrol edilen bir Discord web kancası aracılığıyla gerçekleştirilir. Üstelik hırsız, bir FTP sunucusuna dosya aktarımını da mümkün kılıyor.
Son aylarda, başta insan kaynakları ve bordro departmanları olmak üzere Rus kuruluşları da, açık kaynaklı bir komuta ve kontrol (C2) çerçevesi olan AdaptixC2’yi yükleyen DUPERUNNER adlı daha önce belgelenmemiş bir implantı dağıtmak için ikramiyeler veya iç mali politikalarla ilgili tuzaklar kullanan kimlik avı e-postalarının hedefi oldu.
DupeHike olarak adlandırılan kampanya, UNG0902 adlı bir tehdit kümesiyle ilişkilendiriliyor.
Seqrite, “ZIP, sonunda Adaptix C2 Beacon’u çalıştıran DUPERUNNER implantını indiren, PDF ve LNK uzantılı tuzaklar içeren hedef odaklı kimlik avı tabanlı enfeksiyonun ön kaynağı olarak kullanıldı” dedi.
LNK dosyası (“Документ_1_О_размере_годовой_премии.pdf.lnk” veya “Document_1_On_the_amount_of_the_annual_bonus.pdf.lnk”), sırasıyla “powershell.exe”yi kullanarak DUPERUNNER’ı harici bir sunucudan indirmeye devam eder. İmplantın birincil sorumluluğu, sahte PDF’yi alıp görüntülemek ve bunu “explorer.exe”, “notepad.exe” ve “msedge.exe” gibi meşru bir Windows işlemine enjekte ederek AdaptixC2’yi başlatmaktır.
Diğer kimlik avı kampanyaları, Rusya’daki finans, hukuk ve havacılık sektörlerini hedef alarak Cobalt Strike’ı ve Formbook, DarkWatchman ve PhantomRemote gibi veri hırsızlığı ve uygulamalı klavye kontrolü yapabilen kötü amaçlı araçları dağıttı. Ele geçirilen Rus şirketlerinin e-posta sunucuları, hedef odaklı kimlik avı mesajları göndermek için kullanılıyor.
Fransız siber güvenlik şirketi Intrinsec, Rus havacılık endüstrisini hedef alan saldırı setini Ukrayna çıkarlarıyla uyumlu bilgisayar korsanlarına bağladı. Haziran ve Eylül 2025 arasında tespit edilen etkinlik, Hive0117, CargoTalon Operasyonu ve Rainbow Hyena (diğer adıyla Fairy Trickster, Head Mare ve PhantomCore) ile örtüşüyor.
Bu çabalardan bazılarının, kullanıcıları InterPlanetary Dosya Sistemi (IPFS) ve Microsoft Outlook ve bir Rus havacılık şirketi olan Bureau 1440 ile ilişkili kimlik bilgilerini çalmak üzere tasarlanmış Vercel’de barındırılan kimlik avı oturum açma sayfalarına yönlendirdiği de tespit edildi.
“Haziran ve Eylül 2025 arasında gözlemlenen kampanyalar […] Intrinsec, bu anlaşmanın, büyük ölçüde Batı’nın onlara uyguladığı yaptırımlar tarafından değerlendirilen, Ukrayna ile mevcut çatışmanın ortasında Rusya ordusuyla aktif olarak işbirliği yapan birimlerin uzlaşmasını amaçladığını belirtti.