Siber güvenlik araştırmacıları, daha önce belgelenmemiş bir tehdit oyuncusuna ışık tuttular. Gece (AKA APT-Q-95) Microsoft Exchange sunucularını Çin’deki hükümet, savunma ve teknoloji sektörlerini hedeflemek için tasarlanmış bir sıfır gün istismar zincirinin bir parçası olarak hedeflemeyi gözlemledi.
Qianxin’in Reddrip ekibine göre, tehdit oyuncusu 2023’ten beri aktif ve ağ altyapısını son derece hızlı bir şekilde değiştirdi. Bulgular, Malezya’nın Ulusal Siber Savunma ve Güvenlik Sergisi ve Güvenlik Sergisi ve Konferansı’nın üçüncü baskısı olan Cydes 2025’te 1 ve 3 Temmuz 2025 arasında sunuldu.
Siber güvenlik satıcısı, “Bir kartal hızına sahip gibi görünüyor ve geceleri Çin’de faaliyet gösteriyor.” Dedi.
Tehdit oyuncusu tarafından monte edilen saldırılar, yüksek teknoloji, çip yarı iletkenleri, kuantum teknolojisi, yapay zeka ve askeri sektörlerde faaliyet gösteren varlıkları seçti.
Şirket ayrıca, Müşterinin uç noktalarından birinde, planlanan bir görevin bir parçası olarak her dört saatte bir otomatik olarak başlayacak şekilde yapılandırılmış olan uç noktalarından birinde GO tabanlı keski yardımcı programının ısmarlama bir versiyonunu keşfettikten sonra bir soruşturmaya başladığını belirtti.
“Saldırgan, açık kaynaklı keski intranet penetrasyon aracının kaynak kodunu değiştirdi, yürütme parametrelerini sert kodladı, belirtilen kullanıcı adı ve şifreyi kullandı, belirtilen C&C adresinin 443 ucuyla bir çorap bağlantısı kurdu ve intranet penetrasyon işlevinin belirtilen bağlantı noktasına eşledi.”
Truva atının, Microsoft Exchange sunucusunun Internet Bilgi Sunucusu (IIS) hizmetine implante edilen bir .NET yükleyici aracılığıyla teslim edildiği söylenir. Daha ileri analizler, saldırganların Machinekey’i almasını ve Exchange sunucusuna yetkisiz erişim kazanmasını sağlayan bir sıfır günün varlığını belirlemiştir.
Raporda, “Saldırgan anahtarı değişim sunucusunu seansize etmek için kullandı, böylece bir Truva atı değişim sürümüne uygun herhangi bir sunucuya implante etti ve herhangi bir kişinin posta kutusu verilerini uzaktan okuyor.” Dedi.
Qianxin, aktivitenin, saldırıların Pekin zamanı saat 9.00 arasında gerçekleştiği göz önüne alındığında, Kuzey Amerika’dan bir tehdit aktörünün çalışması olduğunu iddia etti. Hacker News, daha fazla yorum için Microsoft’a ulaştı ve bir yanıt alırsak hikayeyi güncelleyeceğiz.