Hindistan’ın başkenti Yeni Delhi’de bulunan bir Avrupa büyükelçiliğinin yanı sıra Sri Lanka, Pakistan ve Bangladeş’teki çok sayıda kuruluş, olarak bilinen bir tehdit aktörü tarafından düzenlenen yeni bir kampanyanın hedefi olarak ortaya çıktı. Yan Sarıcı Eylül 2025’te.
Trellix araştırmacıları Ernesto Fernández Provecho ve Pham Duy Phuc geçen hafta yayınlanan bir raporda, etkinliğin “SideWinder’ın TTP’lerinde dikkate değer bir evrimi, özellikle de daha önce belgelenen Microsoft Word istismar vektörlerine ek olarak yeni bir PDF ve ClickOnce tabanlı enfeksiyon zincirinin benimsenmesini ortaya çıkardığını” söyledi.
Mart ayından Eylül 2025’e kadar dört dalga halinde hedef odaklı kimlik avı e-postaları göndermeyi içeren saldırılar, ele geçirilen ana bilgisayarlardan hassas bilgiler toplamak amacıyla ModuleInstaller ve StealerBot gibi kötü amaçlı yazılım ailelerini ortadan kaldırmak için tasarlandı.
ModuleInstaller, StealerBot da dahil olmak üzere sonraki aşama yükleri için indirici görevi görürken, StealerBot ters kabuk başlatabilen, ek kötü amaçlı yazılım gönderebilen ve ele geçirilen ana bilgisayarlardan ekran görüntüleri, tuş vuruşları, şifreler ve dosyalar da dahil olmak üzere çok çeşitli verileri toplayabilen bir .NET implantıdır.
Hem ModuleInstaller hem de StealerBot’un, Orta Doğu ve Afrika’daki yüksek profilli varlıkları ve stratejik altyapıları hedef alan bilgisayar korsanlığı grubu tarafından gerçekleştirilen saldırıların bir parçası olarak ilk kez Ekim 2024’te Kaspersky tarafından halka açık olarak belgelendiği unutulmamalıdır.
Mayıs 2025 gibi yakın bir tarihte Acronis, SideWinder’ın Sri Lanka, Bangladeş ve Pakistan’daki devlet kurumlarını hedef alan saldırılarını, çok aşamalı bir saldırı zinciri başlatmak ve sonuçta StealerBot’u sunmak için bilinen Microsoft Office kusurlarına duyarlı kötü amaçlı yazılım yüklü belgeleri kullanarak ortaya çıkardı.
Trellix tarafından 1 Eylül 2025’ten sonra gözlemlenen ve Hindistan büyükelçiliklerini hedef alan en son saldırılar, “Bakanlıklar Arası Toplantı Kimlik Bilgileri.pdf” veya “Hindistan-Pakistan Çatışması – Mayıs 2025.docx’un Stratejik ve Taktiksel Analizi” gibi başlıklara sahip kimlik avı e-postalarında Microsoft Word ve PDF belgelerinin kullanılmasını gerektirir. Mesajlar “mod.gov.bd.pk-mail” alanından gönderilir.[.]org” Pakistan Savunma Bakanlığı’nı taklit etme girişiminde bulundu.
Trellix, “İlk enfeksiyon vektörü her zaman aynıdır: kurban tarafından düzgün bir şekilde görülemeyen bir PDF dosyası veya bazı istismarlar içeren bir Word belgesi.” “PDF dosyaları, kurbanı belgenin içeriğini görüntülemek için Adobe Reader’ın en son sürümünü indirip yüklemeye teşvik eden bir düğme içeriyor.”
Ancak bunu yapmak, uzak bir sunucudan (“mofa-gov-bd.filenest”) bir ClickOnce uygulamasının indirilmesini tetikler.[.]live”), başlatıldığında kötü amaçlı bir DLL (“DEVOBJ.dll”) yüklerken aynı zamanda kurbanlara sahte bir PDF belgesi gönderir.
ClickOnce uygulaması, MagTek Inc.’in (“ReaderConfiguration.exe”) meşru bir yürütülebilir dosyasıdır; Adobe Reader kılığına girer ve herhangi bir tehlike işaretini önlemek için geçerli bir imzayla imzalanır. Ayrıca, komuta ve kontrol (C2) sunucusuna yönelik istekler Güney Asya’ya bölgeyle kilitlenmiştir ve veri yükünü indirme yolu dinamik olarak oluşturulmakta, bu da analiz çalışmalarını karmaşık hale getirmektedir.
Sahte DLL, ModuleInstaller adlı bir .NET yükleyicinin şifresini çözüp başlatmak için tasarlandı; bu yükleyici, daha sonra virüslü sistemin profilini çıkarıyor ve StealerBot kötü amaçlı yazılımını dağıtıyor.
Bulgular, kalıcı tehdit aktörlerinin, hedeflerine ulaşmak için işleyiş şekillerini iyileştirme ve güvenlik savunmalarını aşma yönünde süregelen bir çabaya işaret ediyor.
Trellix, “Çok dalgalı kimlik avı kampanyaları, grubun çeşitli diplomatik hedefler için son derece spesifik tuzaklar oluşturma konusundaki uyum yeteneğini gösteriyor, bu da jeopolitik bağlamlara ilişkin gelişmiş bir anlayışa işaret ediyor” dedi. “ModuleInstaller ve StealerBot gibi özel kötü amaçlı yazılımların tutarlı kullanımı, meşru uygulamaların yandan yükleme için akıllıca kullanılmasıyla birleştiğinde, SideWinder’ın gelişmiş kaçırma teknikleri ve casusluk hedeflerine olan bağlılığının altını çiziyor.”