Dahili olarak APT-Q-95 olarak kodlanan “Nightagle” olarak bilinen en iyi gelişmiş kalıcı tehdit (APT) grubunun gelişmiş saldırı kampanyaları, 2025 Malezya Ulusal Siber Savunma ve Güvenlik Sergisi ve Konferansı’nda çığır açan bir vahiyde en iyi siber güvenlik şirketi Qian Pange tarafından açıklandı.
Siber alemde gizli bir avcı
2023’ten bu yana, Qian Pangu, bilinmeyen güvenlik açıklarından yararlanmak ve Çin’deki yüksek değerli endüstrileri hedeflemek için özel kötü amaçlı yazılımları dağıtmak için benzersiz bir çeviklik gösteren bu grubu titizlikle izledi.
Yüksek teknoloji, çip yarı iletkenleri, kuantum teknolojisi, yapay zeka ve askeri sektörler içerir.
Nightagle’ın birincil amacı, tüm sızma izlerini silmeden önce cerrahi hassasiyetle yürütülen istihbarat hırsızlığı gibi görünüyor.
Nightagle’ın Modus operandi, hızlı altyapı anahtarlaması ile karakterizedir ve çok sayıda VPS sunucusu ve alan adları elde etmek için geniş finansal kaynaklardan yararlanır ve tespitten kaçınmak için dinamik IP çözünürlükleri ile hedef başına benzersiz bir etki alanı kullanarak.
Qian Pangu, ilk olarak qianxin Tianyan NDR sistemleri aracılığıyla şüpheli aktiviteyi tespit etti ve gerçek sunucu konumlarını gizlemek için Synology’nin NAS hizmeti olarak gören ancak Synologyupdates.com’a anormal bir DNS isteğini belirledi.
Gelişmiş taktiklerle gölgeleri sömürmek
Qianxin AISOC aracılığıyla daha fazla analiz, keski ailesinden özelleştirilmiş bir GO-dili kötü amaçlı yazılım olan “Synologiupdate.exe”, 443 bağlantı noktası üzerinden sert kodlanmış çorap bağlantısı aracılığıyla dahili ağ penetrasyonunu kolaylaştırdı.
Dört saatte bir planlanan görevlerle tetiklenen bu kötü amaçlı yazılım, daha derin ihlallerin yolunu açtı.
Grubun cephaneliği, disk ayak izleri olmadan değişim sunucularına enjekte edilen ve geleneksel antivirüs araçlarına görünmez hale getiren benzersiz bir bellek yerleşik kötü amaçlı yazılım, bir “bellek atı” içerir.
“App_web_cn*.dll” adlı bir ASP.net DLL üzerinden yüklenen bu yük, kötü amaçlı işlevleri yürütmek için “/owa/auth/” gibi yolların altında sanal URL dizinleri oluşturur.
Nighteagle ayrıca, saldırganların sunucu anahtarlarını çalmasına, verileri sergilemelerine ve bir eşleşme bulunana kadar çeşitli değişim sürümleri aracılığıyla yineleyerek hedeflenen kişilerden uzaktan hasat yapmalarını sağlayan açıklanmayan bir borsa sıfır gün istismar zincirine sahip.
Qianxin’in Tianyan NDR’si tarafından yapılan trafik analizi, kritik e -posta verilerinin etkilenen varlıklardan yaklaşık bir yıl boyunca sifonlandığını gösterdi.
Davranış kalıpları, Nighteagle’ın muhtemelen Kuzey Amerika’nın Batı 8. Saat Bölgesi’nden kaynaklanan Pekin saat 9: 00-16: 00 arasında çalıştığını göstermektedir.
Hedefleri, AI Tools ile bağlantılı “comfyupdate.org” gibi alanlarda görüldüğü gibi, jeopolitik değişimler ve Çin’in gelişen AI endüstrisi ile uyumludur.
Qian Pangu’nun tehdit zekası, küresel kuruluşları şüpheli IIS bileşenleri ve URL istekleri için değişim sunucularını denetlemeye çağıran birkaç kötü amaçlı alan ve özel saldırı imzası belirledi.
Qianxin’in APT-Q-95 Exchange Bellek Kendi kendine-kontrolü ve TianQing terminal yönetim sistemi gibi araçlar artık bu tehditleri tespit etmek ve azaltmak için mevcuttur, bu tehditleri dakikalar içinde NDR, EDR ve AISOC platformları boyunca çok kaynaklı veri füzyonu ile desteklenmektedir.
Uzlaşma Göstergeleri (IOCS)
| Alan adı | İlişkili Etkinlik |
|---|---|
| App.flowgw.com | Kötü Yazılım C2 İletişimi |
| cloud.synologyupdates.com | Gizlenmiş DNS çözünürlüğü |
| comfyupdate.org | AI Aracı Takliti |
| coremeiltech.com | E -posta Hizmeti Hedefleme |
| Dashboard.daihou360.com | Özel kötü amaçlı yazılım dağıtımı |
| e-mailrelay.com | E -posta Verileri Pessfiltration |
| fastapi-cdn.com | Kötü amaçlı yazılım barındırma |
| fortisys.net | C2 Altyapı |
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt