Ünlü Chollima veya PurpleBravo olarak da bilinen Kuzey Koreli tehdit grubu WaterPlum ile bağlantılı siber suçlular, OtterCandy adı verilen yeni ve gelişmiş bir kötü amaçlı yazılım türüyle faaliyetlerini artırdı.
Bu platformlar arası RAT ve bilgi hırsızı, daha önce gözlemlenen RATatouille ve OtterCookie kötü amaçlı yazılım ailelerinin özelliklerini birleştirerek kimlik bilgisi hırsızlığı ve sistem güvenliğinin ihlali için daha güçlü bir silah yaratarak grubun yeteneklerinde tehlikeli bir evrimi temsil ediyor.
Kötü amaçlı yazılım, WaterPlum’un, blockchain ve kripto para sektörlerinde meşru işe alım süreçleri gibi görünen aldatıcı bir sosyal mühendislik operasyonu olan ClickFake Röportaj kampanyasının bir parçası olarak ortaya çıkıyor.
Saldırganlar, şüphelenmeyen kurbanları kamera kurulum talimatları veya sürücü güncellemeleri kisvesi altında kötü amaçlı yazılım indirmeye teşvik etmek için görünüşte orijinal iş uygulamaları ve görüşme süreçleri sunan BlockForgeX gibi ikna edici sahte şirket web siteleri oluşturur.
.webp)
NTT Güvenlik araştırmacıları, Temmuz 2025’ten bu yana Windows, macOS ve Linux platformlarında dağıtıldığına dikkat çekerek OtterCandy’yi WaterPlum’un cephaneliğine eklenen en son eklenti olarak tanımladı.
Japonya ve diğer bölgelerdeki kurbanları hedef alan saldırılar gözlemlendiğinden, kötü amaçlı yazılımın etkisi bireysel sistemlerin ötesine geçiyor ve bu da tehdit grubunun genişleyen küresel erişimini ve hedeflerini gösteriyor.
Node.js kullanılarak oluşturulan OtterCandy, Socket.IO bağlantıları aracılığıyla komut ve kontrol sunucularıyla iletişim kurarak tehdit aktörlerinin çok çeşitli kötü amaçlı etkinlikleri uzaktan yürütmesine olanak tanır.
Kötü amaçlı yazılımın komut yapısı, ana dizinleri taramak için ‘imp’, kalıp tabanlı dosya aramaları için ‘pat’ ve sistem bilgilerini, tarayıcı kimlik bilgilerini ve kripto para birimi cüzdan verilerini çıkarmak için ‘yükleme’ gibi işlevleri uygulayan karmaşık tasarımını ortaya koyuyor.
Gelişmiş Kalıcılık ve Kaçınma Mekanizmaları
OtterCandy, tespit girişimlerinden sonra bile operasyonun devam etmesini sağlayan çok katmanlı kalıcılık stratejisi sayesinde olağanüstü bir dayanıklılık sergiliyor.
.webp)
Kötü amaçlı yazılım, başlangıçtaki kalıcılık için genellikle önceki DiggingBeaver bileşenine güvense de, kesintiye uğradığında işlemleri otomatik olarak yeniden başlatan bağımsız bir yedekleme mekanizması içerir.
Bu kendini koruma özelliği, SIGINT sinyallerini izlemek için JavaScript’in süreç olayı işlemesini kullanır: –
function startChildProcess() {
const_0x4777b5 = fork(path['join') (_dirname, 'decode.js'), [], {
'detached': !![],
'stdio': 'ignore'
});
_0x4777b5['unref']();
}
process['on']('SIGINT', () => {
startChildProcess();
process['exit']();
});Kötü amaçlı yazılımın Ağustos 2025 güncellemesi, kayıt defteri girdilerini, indirilen dosyaları ve geçici dizinleri kaldıran kapsamlı iz silme işlevleri de dahil olmak üzere gelişmiş adli tıp önleme özellikleri sundu.
Bu temizleme mekanizması, ‘ss_del’ komutu aracılığıyla çalışır ve tehdit aktörlerinin devam eden kampanyaları için operasyonel güvenliği korurken, bir yandan da uzlaşma kanıtlarını sistematik olarak siler.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
