Acı Casusluk Grubu’nun kapsamlı bir analizi, istihbarat toplama faaliyetleri yaparken tespitten kaçınmak için tasarlanmış giderek daha sofistike özel olarak geliştirilmiş kötü amaçlı yazılım araçlarını kullanan sekiz yıllık sürekli siber operasyonları ortaya çıkarmıştır.
TA397 olarak da bilinen tehdit oyuncusu, 2016 yılında temel indiricilerden tam özellikli uzaktan erişim Truva atları (sıçanlar) ve ileri kaçış tekniklerini 2025 yılına kadar geliştirmeye kadar, saldırı metodolojilerinde dikkate değer bir kalıcılık ve evrim göstermiştir.
.webp)
Acı grup, öncelikle kurban ağlarına ilk erişim elde etmek için mızrak aktı kampanyaları ve stratejik belge tabanlı yemleri kullanarak Pakistan’ın dış ilişkilerine ve diğer jeopolitik olarak hassas varlıklara bağlı kurbanları hedef aldı.
.png
)
Operasyonları birden fazla ülkeyi kapsıyor ve sürekli olarak istihbarat toplama üzerine odaklandı ve faaliyetlerinin arkasında devlet destekli motivasyonlar önerdi.
Threatray analistleri, Bitter’in kötü amaçlı yazılım cephaneliğinde, yaklaşık on yılı kapsayan uyumlu bir gelişim çabasını güçlü bir şekilde gösteren belirgin kalıplar belirlediler.
Araştırmacılar, bireysel kötü amaçlı yazılım aileleri farklı görünse de, özellikle sistem bilgileri toplama rutinlerinde ve String gizleme tekniklerinde tutarlı kodlama uygulamalarını paylaştıklarını keşfettiler.
Proofpoint ile işbirliği içinde yapılan bu analiz, Bitter’in bugüne kadar teknik yeteneklerinin en kapsamlı incelemesini temsil etmektedir.
İşbirlikçi araştırma çabası, güvenlik uzmanlarının, Acı’nın Hindistan hükümetinin çıkarları için faaliyet gösteren devlet destekli bir tehdit aktörünü temsil ettiğine dair yüksek güvenle değerlendirilmesine yol açtı.
Bu sonuç, grubun sürekli operasyonel temposu, sofistike özel araçlar ve stratejik zeka önceliklerine hizalanan hedefleme kalıplarından kaynaklanmaktadır.
Kaçma tekniklerinin ve paylaşılan kalkınma uygulamalarının evrimi
Bitter’in operasyonel sofistike olmasının en çarpıcı yönü, kötü amaçlı yazılım ailelerinde tutarlı kalkınma uygulamalarını sürdürürken tespit kaçınma tekniklerinin sistematik evriminde yatmaktadır.
Yük arenallerinin analizi, basit karakter tabanlı gizlemeden gelişmiş şifreleme şemalarına kadar kasıtlı bir ilerlemeyi ortaya koyar ve bu da savunma iyileştirmelerine yanıt olarak grubun uyarlanabilir yeteneklerini gösterir.
2016 yılında keşfedilen Artradownloader gibi erken kötü amaçlı yazılım aileleri, basit karakter aritmetik işlemlerini kullanarak temel dize gizlemesi kullandı.
İlk varyantlar, her bir karakterin, tipik olarak belirli varyantlara bağlı olarak 1 ila 13 arasında değişen önceden belirlenmiş değerlerin çıkarılmasıyla çözüldüğü basit kodlamayı kullanmıştır.
Bununla birlikte, Threatray araştırmacıları, sonraki yinelemelerin, tek tek teller için benzersiz anahtarlarla XOR şifrelemesi ve sonunda AES-256-CBC şifrelemesini.
Grubun operasyonel güvenliğe olan bağlılığı, sadece şaşkınlık tekniklerinin ötesine uzanmaktadır.
.webp)
2021’de Artradownloader’ın yerini alan Muuydownloader aileleri, ağ tabanlı algılama sistemlerini atlatmak için tasarlanmış sofistike yük dağıtım mekanizmalarını içeriyor.
Kötü amaçlı yazılım kasıtlı olarak eksik PE başlık baytlarına sahip yükler alır ve daha sonra yürütmeden önce eksik 0x4D baytını yazarak yürütülebilir dosyayı yeniden yapılandırır ve imza tabanlı ağ izleme araçlarından etkili bir şekilde kaçar.
Belki de en önemlisi, Bitter’in kalkınma uygulamaları, gelişen güvenlik önlemlerine uyum sağlarken operasyonel yetenekleri korumak için sistematik bir yaklaşım ortaya koymaktadır.
Miyarat ailelerinin son varyantları, Mayıs 2025’te keşfedilen 5.0 sürümünün, özel yinelemelere özdeş işlevselliği uygularken, özel olarak imzalanma tabanlı tespiti yenmek için tasarlanmış değiştirilmiş kod modelleri kullanırken bu uyarlanabilirliği göstermektedir.
Araştırmacılar, String tabanlı YARA kurallarının yeni gizlenmiş dizeler nedeniyle en son varyantı tespit edemese de, kod yeniden kullanım algoritmalarının önceki sürümlerle yapısal benzerlikleri başarıyla tanımladığını gözlemlediler.
Bu evrim paterni, Bitter’in aktif geliştirme yeteneklerini koruduğunu ve araçlarına karşı savunma tepkilerini sürekli olarak izlediğini ve temel operasyonel işlevselliği genişleyen kötü amaçlı yazılım ekosistemleri boyunca korurken tekniklerini buna göre uyarladığını göstermektedir.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği