Ulus-devlet tehdit oyuncusu olarak bilinen Ayna Japonya ve Tayvan’daki devlet kurumlarına ve kamu kurumlarına yönelik bir siber casusluk kampanyasının bir parçası olarak Roamingmouse olarak adlandırılan kötü amaçlı yazılımların konuşlandırılması gözlemlenmiştir.
Mart 2025’te trend micro tarafından tespit edilen etkinlik, Anel adı verilen bir arka kapının güncellenmiş bir versiyonunu sunmak için mızrak-akma yemlerinin kullanımını içeriyordu.
Güvenlik Araştırmacısı Hara Hiroaki, “Bu blogda tartışılan 2025 kampanyasından Anel dosyası, bellekte BOF (Beacon Nesne Dosyası) yürütülmesini desteklemek için yeni bir komut uyguladı.” Dedi. Diyerek şöyle devam etti: “Bu kampanya aynı zamanda ikinci aşama arka kapı Noopdoor’u başlatmak için Sharphide’den potansiyel olarak kullandı.”
Dünya Kasha olarak da bilinen Çin ile uyumlu tehdit oyuncusu, APT10 içinde bir alt küme olarak değerlendiriliyor. Mart 2025’te ESET, Ağustos 2024’te Anel (diğer adıyla Uppercut) ile Avrupa Birliği’nde diplomatik bir organizasyonu hedefleyen Akairyū Operasyonu olarak adlandırılan bir kampanyaya ışık tuttu.
Çeşitli Japon ve Tayvanlı varlıkların hedeflenmesi, hack ekibi stratejik hedeflerini ilerletmek için bilgi hırsızlığı yapmaya çalıştıkça ayak izlerinin sürekli genişlemesine işaret ediyor.
Saldırı, bazıları meşru ama işbirlikli hesaplardan gönderilen bir mızrak aktı e-postasıyla başlar ve bu da bir zip dosyası indiren gömülü bir Microsoft OneDrive URL’si içerir.
ZIP arşivi, kötü amaçlı bir Excel belgesi ve ANEL ile ilgili bileşenler sunmak için bir kanal görevi gören makro özellikli bir damlalık kodlayıcısı içerir. Roamingmouse’un geçen yıldan beri Mirrorface tarafından kullanıldığını belirtmek gerekir.
Hiroaki, “RoamingMouse daha sonra Base64 kullanarak gömülü zip dosyasını çözer, bir disk üzerindeki fermuarı düşürür ve bileşenlerini genişletir.” Dedi. Bu dahil –
- Jslntool.exe, jstiee.exe veya jsvwmng.exe (meşru bir ikili)
- Jsfc.dll (anelldr)
- Şifreli bir anel yükü
- Msvcr100.dll (yürütülebilir dosyanın meşru bir DLL bağımlılığı)
Saldırı zincirinin nihai amacı, explorer.exe kullanarak meşru yürütülebilir dosyayı piyasaya sürmek ve daha sonra kötü niyetli DLL’yi kenar yüklemek için kullanmaktır, bu durumda Anel Backdoor’un şifresini çözmekten ve piyasaya sürülmesinden sorumlu olan Anelldr.
2025 kampanyasında kullanılan Anel Artefaktı hakkında dikkat çekici olan şey, kobalt grev aracısını yeni yok etme sonrası özelliklerle genişletmek için tasarlanmış derlenmiş C programları derlenmiş C programları bellek içi yürütülmesini desteklemek için yeni bir komut eklenmesidir.
Trend Micro, “Anel dosyasını kurduktan sonra, Kasha’nın arkasındaki aktörler bir arka kapı komutu kullanarak ekran görüntüleri aldı ve kurbanın ortamını inceledi.” Diyerek şöyle devam etti: “Düşman, ekran görüntülerine, süreç listelerine ve alan bilgisine bakarak kurbanı araştırıyor gibi görünüyor.”
Select örnekleri ayrıca, daha önce hack grubu tarafından kullanılan başka bir arka kapı olan Noopdoor’un yeni bir sürümünü (diğer adıyla Hiddenface) başlatmak için Sharphide adlı açık kaynaklı bir araçtan yararlandı. İmplant, kendi adına DNS üzerinden DNS-HTTPS’yi (DOH), komut ve kontrol (C2) işlemleri sırasında IP adres aramalarını gizlemesini destekler.
Hiroaki, “Dünya Kasha aktif bir gelişmiş kalıcı tehdit olmaya devam ediyor ve şu anda Mart 2025’te tespit ettiğimiz son kampanyasında Tayvan ve Japonya’daki devlet kurumlarını ve kamu kurumlarını hedefliyor.” Dedi.
“İşletmeler ve kuruluşlar, özellikle yönetişim ile ilgili hassas veriler gibi yüksek değerli varlıkları olanlar, fikri mülkiyet, altyapı verileri ve erişim kimlik bilgileri uyanık olmaya devam etmeli ve siber saldırılara düşen kurbanı önlemek için proaktif güvenlik önlemleri uygulamalıdır.”