İmparator yusufçuk olarak izlenen ve yaygın olarak siber suçlu çabalarla ilişkili olan Çin merkezli bir tehdit oyuncusu, daha önce casusluk aktörlerine atfedilen bir araç seti kullanılarak gözlenmiştir.
Bilgisayar korsanları, RA World fidye yazılımlarını bir Asya yazılım ve hizmet şirketine karşı konuşlandırdı ve 2 milyon dolarlık ilk fidye ödemesini istedi.
Symantec’in tehdit avcısı ekibinden araştırmacılar, 2024’ün sonlarında faaliyeti gözlemlediler ve devlet destekli siber casusluk aktörleri ile finansal olarak motive edilmiş siber suç grupları arasındaki potansiyel bir örtüşmeyi vurguladılar.
Araştırmacılar, “2024’ün sonlarında saldırı sırasında, saldırgan daha önce Çin’e bağlı bir aktör tarafından klasik casusluk saldırılarında kullanılan farklı bir araç seti kullandı.” “Ama” Birçoğu halka açık değildir ve genellikle siber suç aktivitesi ile ilişkili değildir. “
Temmuz 2024’te Palo Alto Networks Birimi 42’den bir rapor, İmparator Dragonfly’i (diğer adıyla bronz yıldız ışığı) RA World ile düşük güvenle de ilişkilendirdi. Araştırmacılara göre, RA dünyası 2023 yılında Babuk merkezli bir aile olarak başlatılan RA Group’tan döndü.
Casusluktan Fidye Yazılımına
Temmuz 2024-Ocak 2025 arasında, Çin merkezli casusluk aktör, güneydoğu Avrupa ve Asya’daki hükümet bakanlıklarını ve telekom operatörlerini hedef aldı, bu da görünen hedef uzun vadeli ısrar.
Bu saldırılarda, Plugx (Korplug) arka kapının belirli bir varyantı, kötü amaçlı bir DLL (toshdpapi.dll) ile birlikte DLL sideloading yoluyla bir Toshiba yürütülebilir dosyası (toshdpdb.exe) ile konuşlandırıldı.
Ayrıca Symantec, gizli ağ iletişimi için kullanılan Çin tarafından geliştirilen bir araç olan NPS proxy’sinin ve çeşitli RC4 şifreli yüklerin kullanımını gözlemledi.
Kasım 2024’te aynı Korplug yükü bir Güney Asya yazılım şirketine karşı kullanıldı. Bu sefer bir RA World fidye yazılımı saldırısı izledi.
Saldırganın, ağa sızmak için Palo Alto Pan-OS’den (CVE-2024-0012) sömürdüğü ve daha sonra makineleri şifrelemeden önce Korplug’u dağıtmak için Toshiba yürütülebilir ve DLL dosyasını içeren aynı kenar yükleme tekniğini izledi.
Mevcut kanıtlara dayanarak, hipotez, casusluk saldırıları yapan Çin devlet destekli siber operatörlerin kişisel kâr için fidye yazılımı aktörleri olarak “ay ışığı” yapabileceğidir.
Symantec’in raporu, savunucuların hasar verilmeden önce saldırıları tespit etmesine ve engellemelerine yardımcı olmak için gözlemlenen aktivite ile ilişkili uzlaşma göstergelerini (IOC’ler) listeler.