Seqrite Laboratuvarlarındaki güvenlik araştırmacıları, meşru güvenlik araçları gibi görünmek üzere tasarlanmış silahlı belgelerle İsrail kuruluşlarını hedef alan IconCat Operasyonu adlı bir kampanya tespit etti.
Saldırılar Kasım 2025’te başladı ve bilgi teknolojisi, personel hizmetleri ve yazılım geliştirme sektörlerinde birden fazla şirketin güvenliğini tehlikeye attı.
Bu saldırının özü psikolojik bir hileye dayanıyor: Tehdit aktörleri, Check Point ve SentinelOne gibi güvenilir antivirüs satıcılarını taklit eden sahte belgeler oluşturuyor.
Kurbanlar bu gizlenmiş dosyaları açtıklarında, farkında olmadan tanıdık bir marka adının arkasına gizlenmiş zararlı kötü amaçlı yazılımları indiriyorlar.
Kampanya, sosyal mühendisliğin teknik gelişmişlik ile birleştiğinde geleneksel güvenlik savunmalarını nasıl aşabileceğini gösteriyor.
.webp)
IconCat Operasyonu iki farklı saldırı zincirinden oluşuyor. Her ikisi de benzer taktikler kullanıyor ancak farklı kötü amaçlı yazılım türlerini kullanıyor.
.webp)
İlk zincir, PDF dosyalarını kullanarak belge tabanlı dağıtıma odaklanırken, ikincisi, gizli programlama koduna sahip Word belgelerini kullanır.
Seqrite analistleri, 16 ve 17 Kasım 2025 tarihlerinde İsrail’den yapılan şüpheli dosya yüklemelerini analiz ederek ikinci paragraftan sonra kötü amaçlı yazılımı tespit etti.
İlk saldırı dalgası, kendisini Check Point güvenlik tarayıcısı kılavuzu olarak sunan help.pdf adlı bir PDF dosyasını içeriyor.
Belgede kullanıcılara Dropbox’tan “cloudstar” parolasıyla korunan “Güvenlik Tarayıcısı” adlı bir aracı indirmeleri talimatı veriliyor. Dosyanın içinde, güvenlik taramalarının nasıl çalıştırılacağına ilişkin ayrıntılı talimatlar ve orijinal görünümlü ekran görüntüleri bulunur.
Bu PDF, PyInstaller teknolojisi kullanılarak paketlenmiş Python tabanlı bir kötü amaçlı yazılım olan PYTRIC’in dağıtımı için giriş noktası görevi görür.
Yeteneklerle ilgili
PYTRIC, tipik kötü amaçlı yazılım davranışının ötesinde ilgili yeteneklere sahiptir. Analizler, tüm sistemdeki dosyaları taramak, yönetici ayrıcalıklarını kontrol etmek ve sistem verilerini silmek ve yedekleri silmek gibi yıkıcı eylemleri gerçekleştirmek için tasarlanmış işlevler içerdiğini ortaya koyuyor.
Kötü amaçlı yazılım, Backup2040 adlı bir Telegram botu aracılığıyla iletişim kurarak saldırganların virüslü makineleri uzaktan kontrol etmesine olanak tanıyor. Bu kombinasyon, tehdit aktörlerinin yalnızca bilgiyi çalmak değil, onu tamamen yok etmek niyetinde olduklarını gösteriyor.
İkinci kampanya da benzer bir modeli izliyor ancak RUSTRIC adı verilen Rust tabanlı bir implant kullanıyor. Hedef odaklı kimlik avı e-postası, sahte alan adı lm.co.il’i kullanarak meşru bir İsrail insan kaynakları şirketi olan LM Group’un kimliğine bürünür.
E-posta eki, son veriyi çıkaran ve yürüten gizli makroları içeren bozuk bir Word belgesi içeriyor.
RUSTRIC, Quick Heal, CrowdStrike ve Kaspersky dahil 28 farklı antivirüs ürününün varlığını kontrol ederek gelişmiş keşif yetenekleri sergiliyor.
Windows Yönetim Araçları aracılığıyla yürütüldükten sonra, virüs bulaşmış bilgisayarı tanımlamak ve saldırgan tarafından kontrol edilen sunuculara bağlantı kurmak için sistem komutlarını çalıştırır.
Güvenlik ekipleri bu kampanyaları, acil inceleme ve iyileştirme çalışmaları gerektiren yüksek öncelikli tehditler olarak ele almalıdır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
