Lazarus Grubu ile ilişkili Kuzey Kore devlet destekli tehdit aktörleri, özellikle ünlü Chollima olarak bilinen alt grup, Python merkezli yeni bir uzaktan erişim Trojan (sıçan) olarak adlandırarak taktiklerini geliştirdi.
Bu kötü amaçlı yazılım, GO benzeri mantık desenleri ve kapsamlı yorumlanan bölümler de dahil olmak üzere AI destekli taşınmayı gösteren kod yapıları sergileyen önceki Golangghost sıçanının yeniden uygulanmasını temsil eder.
Pirated yazılım veya USB sürücüleri aracılığıyla geleneksel kötü amaçlı yazılımların yayılmasının aksine, Pylangghost Rat, öncelikle teknoloji, finans ve kripto para sektörlerindeki geliştiricilere ve yöneticilere yönelik yüksek hedefli “ClickFix” sosyal mühendislik kampanyalarından yararlanır.
Hedeflenen saldırılarda sosyal mühendislik
Bu işlemlerde, rakipler sahte iş görüşmelerini veya iş çağrılarını düzenleyerek kamerayı veya mikrofon erişimini engelleyen tarayıcı hatalarını simüle eder.

Any.Run raporuna göre, kurbanlardan gerçekte uzak operatörlere tam sistem kontrolü sağlayan iddia edilen bir düzeltme komut dosyası yürütmeleri istenir.
Bu teknik yakın zamanda AAVE DEFI protokolü için simüle edilmiş bir işe alım sırasında karşılaşan Blockosint’ten araştırmacı Heiner García Pérez tarafından belgelenmiştir.
Saldırı, kullanıcıya kötü amaçlı yükleri indiren ve yürüten bir komutu çalıştırmasını talimat veren “Windows Camera Discovery önbelleğinde yarış koşulu” gibi aldatıcı bir hata mesajı ile başlar.
Dağıtım mekanizması, şüpheli bir alandan bir zip dosyası getirmeyi, PowerShell’in genişletme arkalızı aracılığıyla çıkarılmasını ve lib.zip’te paketlenmiş temiz bir piton ortamını açan bir VBScript (update.vbs) başlatan bir kıvrılma komutunu içerir.

Bu ortam, NVIDIA.PY LOADER’ı çalıştıran CSSHOST.EXE olarak yeniden adlandırılmış bir Python.exe içerir.
Kötü amaçlı yazılımın modüler mimarisi, komut kodlarını, C2 sunucularını ve Metamask ve Phantom gibi hedeflenen krom uzantıları tanımlamak için config.py içerir; RC4 şifreli paket yapısı için API.PY ve TLS olmayan http üzerinden MD5 sağlama toplamları; ve Command.py Sistem keşfi, dosya yüklemeleri/indirme, ters kabuklar ve kimlik bilgisi eksfiltrasyonu dahil olmak üzere talimatları göndermek için.
Yardımcı Modüller Util.
İş etkileri
Pylangghost Rat, kayıt defteri anahtarları ve. Store Mutex dosyası aracılığıyla kalıcılık oluşturur, tek-kurumun yürütülmesini sağlar ve zayıf RC4/MD5 şaşkınlığı olan ham IP adreslerini kullanarak C2 altyapısı ile iletişim kurar.
Tarayıcı profillerini cold.tar.gz arşivlerine sıkıştıran ve sunan otomatik hırsızlık modlarını sistem bilgilerini, dosya işlemlerini, terminal oturumlarını ve otomatik hırsızlık modlarını toplamak için komutları destekler.
Kimlik bilgisi boşaltma için, LSASS.exe’yi sistem ayrıcalıkları kazanması için taklit eder, Chrome’un yerel durumundan AES-GCM bloblarını çözer ve CNG API kaydı ile hem V10 DPAPI anahtarlarını hem de V20 uygulamaya bağlı varyantları kullanır.
Davranışsal analiz, ilk virustotal skorlar düşük kalsa da, kum havuzlarında yüksek güven işaretlemesi ile zıt olsa da, varsayılan Python-Requests kullanıcı ajanlarını ve hızlı C2 isteklerini algılama göstergeleri olarak ortaya koymaktadır.
Bu sıçanın TTP’leri, t1036 maskelenmesi, T1059 komut dosyası tercümanları, T1083 dosya keşfi ve T1012 kayıt defteri sorguları dahil, cüzdan uzlaşmaları, veri ihlalleri, operasyonel bozulmalar ve düzenleyici cezalar gibi ciddi riskler gibi hizalanmıştır.
Savunmalar, erken tespit için davranışa dayalı kum havuzlarını, doğrulanmamış komutlara karşı çalışan eğitimi, ayrıcalık kısıtlamaları, anormal trafik izleme ve tarayıcı sertleştirme için vurgulanır.
Uzlaşma Göstergesi (IOCS)
IOC Türü | Değer |
---|---|
İhtisas | 360[.]mağaza |
IPv4 | 13[.]107.246[.]45 |
IPv4 | 151[.]243.101[.]229 |
Url | HTTPS[:]// 360scanner[.]Mağaza/CAM-V-B74SI.FIX |
Url | HTTP[:]// 151[.]243[.]101[.]229[:]8080/ |
SHA256 (Auto.py.bin) | bb794019f8a6396e4a16063dc785fafe8a5f7c7553bcd3da661c7054c6674c7 |
SHA256 (command.py.bin) | C4fd45bb8c33a5b0fa5189306b65fa3db53a53c1092078ec62f3fc19bc05dcb |
SHA256 (config.py.bin) | C7ecf8be40c1e9a9a9a8c3d148eb2ae2c0c64119ab46f51f603a00b812a7be3b45 |
SHA256 (nvidia.py.bin) | a179caf1b7d293f7c14021b80deeecd2b42bd409e052da767e0d383f71625940 |
SHA256 (util.py.bin) | EF04A839F6011A5DF2408AEBD6D9AF43229D95B4814132E589F178005C72F |
Dosya adı | chrome_logins_dump.txt |
Dosya adı | cold.tar.gz |
Muteks | .mağaza |
The Ultimate SOC-as-a-Service Pricing Guide for 2025
– Ücretsiz indir