Çinli gelişmiş kalıcı tehdit (APT) grubu Silver Fox (Void Arachne olarak da bilinir), dünya çapındaki kuruluşlarda Çince konuşan çalışanları hedef alan karmaşık bir arama motoru optimizasyonu (SEO) zehirleme kampanyası başlattı.
Kampanya, ValleyRAT kötü amaçlı yazılımıyla bağlantılı sahte bir Microsoft Teams yükleyicisi dağıtırken, ilişkilendirme çabalarını Çinli tehdit aktörlerinden uzaklaştırmak için Kiril karakterleri ve Rusça dil öğelerini kasıtlı yanıltma işaretleri olarak kullanıyor.
Tehdit istihbaratı firması ReliaQuest’e göre kampanya Kasım 2025’ten bu yana aktif.
Silver Fox’un ikili operasyonel hedeflerini ortaya koyuyor: hassas istihbarat toplamak için devlet destekli casusluk yapmak ve faaliyetlerini finanse etmek için siber suç operasyonlarına katılmak.
Grubun hedefleme stratejisi, alan adlarının yazım yanlışı ve bölgesel güvenlik araçları tarafından tespit edilmekten kaçınmak için tasarlanmış yerelleştirilmiş sosyal mühendislik taktikleri yoluyla açıkça Çince konuşan kullanıcılara odaklanıyor.
SEO Zehirleme Saldırısı
Silver Fox daha önce Telegram ve Chrome tarayıcılarının sahte sürümlerini dağıtmak için SEO zehirlemesinden yararlanmıştı.
Bu en son yineleme, “teamscn” etki alanı aracılığıyla Microsoft Teams’in kimliğine bürünerek bu oyun kitabını temel alıyor.[.]com”, Çinli kullanıcıları hedef alan kasıtlı bir yazım hatası saldırısında “.cn”yi de içeriyor.
Kötü amaçlı web sitesi, Mart 2025’te “Teams indirmeleri – Microsoft Teams masaüstü ve mobil uygulamalarını indirin” HTML başlığıyla kuruldu ve Kasım ayı başlarında, bulaşma girişimleri yoğunlaşmadan önce ince değişiklikler aldı.
Kullanıcılar meşru Microsoft Teams uygulaması olduğuna inandıkları bir uygulamayı indirdiklerinde, “shuangkg” adresindeki Alibaba Cloud altyapısında barındırılan ValleyRAT kötü amaçlı yazılımını içeren Kiril karakterlerini içermesiyle dikkat çeken “MSTчamsSetup.zip” adlı truva atı haline getirilmiş bir ZIP dosyası alıyorlar.[.]abd-cn-hongkong[.]aliyuncalar[.]com.”
Bu altyapı seçimi ayrıca Silver Fox’un operasyonel olarak Çin’in coğrafi sınırları içinde faaliyet gösteren Çin hedeflerine ve organizasyonlarına odaklandığını gösteriyor.
Aldatıcı Yürütme Zinciri
Kötü amaçlı yazılım yürütme zinciri, etkin güvenlik yazılımını belirlemek için anında keşif gerçekleştiren Setup.exe ile başlar.
Kötü amaçlı yazılım, özellikle Çin’de yaygın olarak kullanılan bir antivirüs çözümü olan 360 Total Security’nin 360Tray.exe ve 360tray.exe bileşenlerini kontrol ediyor.
Bu tespit mekanizması, kampanyanın hassas hedeflemesine örnek teşkil ediyor ve saldırganların hedeflenen kurbanların güvenlik durumu hakkında ayrıntılı bilgiye sahip olduğunu gösteriyor.
Keşif tamamlandıktan sonra, kötü amaçlı yazılım, tüm sürücü birimleri (C:, D:, E:, F:) için Windows Defender dışlama listelerini değiştiren, gizlenmiş PowerShell komutlarını yürütür ve antivirüs yazılımını sonraki kötü amaçlı etkinliklere karşı etkili bir şekilde körleştirir.
Bulaşma zinciri daha sonra, kötü amaçlı yükü çalıştırmadan önce JSON yapılandırma dosyalarından ikili verileri okuyan, tamamen Rusça olarak görüntülenen Microsoft C++ yeniden dağıtılabilir yükleyicisinin truva atı haline getirilmiş bir sürümünü dağıtır.
Saldırının gizlilik yetenekleri açısından kritik olan kötü amaçlı yazılım, kötü amaçlı DLL dosyalarını meşru bir Windows işlemi olan rundll32.exe’ye yükleyerek İkili Proxy Yürütmesinden yararlanıyor.
Bu teknik, kötü amaçlı yazılımı güvenilir sistem etkinliği olarak gizleyerek, “Ntpckj” ile komut ve kontrol bağlantıları kurmasını sağlar.[.]com” (134.122.128)[.]131) 18852 numaralı bağlantı noktası üzerinden, kapsamlı uç nokta algılama ve yanıt (EDR) çözümleri veya PowerShell olay günlüğüne sahip olmayan kuruluşlar için görünmez kalır.
Azaltmalar
Çin’de çalışanları veya Çince konuşan personeli olan kuruluşlar, bu kampanya nedeniyle yüksek riskle karşı karşıyadır ve proaktif savunma önlemleri uygulamalıdır.
Güvenlik ekipleri, ValleyRAT’ın enfeksiyon zincirinde tam görünürlük sağlamak için Windows Olay Kimliği 4688’i (komut satırı günlüğü) ve Olay Kimliği 4104’ü (PowerShell Komut Dosyası Blok Günlüğü) etkinleştirmelidir.
Çalışanların self-servis yazılım kataloglarını önceden onaylanmış uygulamalarla dağıtmak, kullanıcıların meşru satıcıları taklit eden kötü amaçlı alanlardan yazılım indirme olasılığını azaltır.
Küresel operasyonları olan, özellikle de Çin’de ofisleri bulunan kuruluşlar için, uluslararası konumların kapsamlı güvenlik değerlendirmeleri acil öncelikler haline gelmelidir.
Yeterli günlük kaydı, EDR çözümleri ve ValleyRAT davranışları ve İkili Proxy Yürütme teknikleri için özel olarak ayarlanmış algılama kurallarının uygulanması, Silver Fox kampanyalarının operasyonel etkisini kontrol altına alma ve en aza indirme ortalama süresini önemli ölçüde azaltacaktır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.