Kuzey Kore bağlantılı bir grup olan WaterPlum’un Cluster B’si, ClickFake Interview kampanyası aracılığıyla Node.js tabanlı bir RAT ve bilgi hırsızı olan OtterCandy’yi tanıtarak taktiklerini geliştirdi ve Ağustos 2025’te önemli iyileştirmeler gözlemlendi.
Kuzey Kore’yle ilişkilendirilen bu tehdit aktörü iki ana kampanyayı yönetti: Bulaşıcı Röportaj ve ClickFake Röportajı.
WaterPlum şemsiyesi altında birden fazla küme faaliyet gösterse de, genellikle BlockNovas kümesi olarak anılan Küme B, yeni ortaya çıkarılan OtterCandy kötü amaçlı yazılımı da dahil olmak üzere bağımsız olarak geliştirilen özel araçlarla öne çıkıyor.
ClickFake Röportajı, şüphelenmeyen hedefleri kötü amaçlı sayfalarla etkileşime girmeye teşvik etmek için aldatıcı web içeriğinden yararlanır.
Son aylarda siber güvenlik araştırmacıları, Ünlü Chollima ve PurpleBravo takma adlarıyla da bilinen WaterPlum’dan kaynaklanan saldırılarda bir artış olduğunu belgeledi.
Küme B’nin varyantında mağdurlar, röportaj platformu görünümüne bürünmüş, özelleştirilmiş bir “ClickFix” web sayfasıyla karşılaşırlar. Kullanıcılar etkileşime girdiğinde, onlardan bir röportaj uygulaması veya belgesi gibi görünen bir şeyi indirmeleri isteniyor.
Geçmişte Cluster B, Windows için GolangGhost’u ve macOS için FrostyFerret’i dağıtarak diğer kümelerin kullandığı taktikleri yansıtıyordu. Ancak Temmuz 2025’ten itibaren OtterCandy, Windows, macOS ve Linux sistemlerinde birincil implant olarak ortaya çıktı.
Kampanya, WaterPlum’un daha geniş atlıkarınca istismar stratejisini yansıtıyor: tespit ve ilişkilendirmeyi karmaşık hale getirmek için paylaşılan kötü amaçlı yazılım çerçeveleri ve özel türler arasında geçiş yapmak.
OtterCandy’nin ilk çıkışı, çok yönlü bir tehdit oluşturmak için önceki iki yükün (RATatouille ve OtterCookie) özelliklerini harmanlayarak kayda değer bir değişime işaret ediyor.
OtterCandy’nin Teknik Analizi
OtterCandy, Node.js’de hazırlanmıştır ve gerçek zamanlı komuta ve kontrol (C2) iletişimleri için Socket.IO kitaplığına güvenir.
OtterCandy’nin imzasıyla eşleşen bir örnek ilk olarak Şubat 2025’te VirusTotal’da tanımlandı ve Silent Push’un ilk raporunda yanlışlıkla OtterCookie olarak etiketlendi. Daha sonraki adli analizler aynı dosya karmalarını doğrulayarak WaterPlum ekosistemindeki kökenini güçlendirdi.
Bir C2 bağlantısı kurulduğunda OtterCandy, kimlik bilgileri hırsızlığı ve sistem keşfi için tasarlanmış çeşitli komutları kabul eder.
Küme B operatörleri, tarayıcı kimlik bilgilerini toplamak, kripto para birimi cüzdanlarını çıkarmak ve güvenliği ihlal edilmiş cihazlardan gizli belgeleri aktarmak için bu işlevleri kullanır.
OtterCandy, kalıcılığı sürdürmek için ikincil bir implant olan DiggingBeaver’a bağlı olsa da, aynı zamanda bir kendini yeniden canlandırma mekanizmasına da sahiptir: Bir SIGINT olayı aldıktan sonra, kötü amaçlı yazılım kendisini Node.js’nin proses.on işleyicisi aracılığıyla yeniden başlatır.
Ağustos 2025 Güncellemesi: v1’den v2’ye
Ağustos 2025’teki izleme döngüsü sırasında analistler, OtterCandy’nin v1 ve v2 olarak ayrılan önemli revizyonlardan geçtiğini gözlemledi. Bu geliştirmeler, Kale B’nin yinelenen iyileştirmelere ve kaçınma tekniklerine olan bağlılığını göstermektedir.
client_id ekleniyor
Orijinal v1 sürümünde OtterCandy, kurbanları tanımlamak için bir “kullanıcı adı” alanı aktardı. Sürüm 2, bunu benzersiz bir “client_id” ile güçlendirir, virüs bulaşmış ana bilgisayarların daha hassas bir şekilde izlenmesine olanak tanır ve büyük botnet’ler üzerinde operatör kontrolünü kolaylaştırır.
Hırsızlık hedeflerini genişletmek
OtterCandy’nin temel işlevi belirli tarayıcı uzantılarından veri çalmayı içerir. V1 dört uzantı kimliğini hedeflerken v2, kapsamı yediye çıkararak güvenliği ihlal edilen yapıların aralığını genişletir. Üstelik v1’in Chromium tabanlı tarayıcılardan kısmi veri sızdırması, v2’de mevcut tüm kullanıcı verilerinin kapsamlı bir şekilde çıkarılmasıyla değiştirildi ve çalınan bilgilerin kapsamı artırıldı.
İzleme silme geliştirmeleri
Sürüm 2 ayrıca temizleme rutinlerini de destekler. Yeni ss_del komutu artık yalnızca DiggingBeaver tarafından kalıcılık amacıyla kullanılan kayıt defteri anahtarlarını kaldırmakla kalmıyor, aynı zamanda ilişkili dosya ve dizinleri de temizliyor. Bu eklemeler, adli kanıtları silmeyi, olaya müdahale çabalarını engellemeyi ve gizliliği uzatmayı amaçlıyor.
Çıkarımlar ve Öneriler
OtterCandy’nin ortaya çıkışı, Cluster B’nin artan karmaşıklığının ve WaterPlum’un oluşturduğu gelişen tehdit ortamının altını çiziyor.
Yüksek riskli sektörlerde (özellikle saldırıların zaten kaydedildiği Japonya’da) faaliyet gösteren kuruluşlar, Node.js tabanlı anormalliklerin ve Socket.IO trafik modellerinin izlenmesini artırmalıdır.
Yinelenen client_id imzaları ve beklenmeyen kayıt defteri değişiklikleri için proaktif tehdit avcılığı, algılamayı hızlandırabilir.
Sürekli tehdit istihbaratı paylaşımı ve geliştirme çerçevelerine zamanında yama uygulanması kritik öneme sahip olmaya devam ediyor. Güvenlik ekiplerine olağandışı süreç etkinliklerini işaretleyebilecek, sıkı uygulama beyaz listesi uygulayabilecek ve tarayıcı uzantısı envanterlerinde düzenli denetimler gerçekleştirebilecek davranışsal analiz araçları kullanmaları tavsiye edilir.
WaterPlum’un Cluster B’si kötü amaçlı yazılım cephaneliğini geliştirirken, savunucuların da dinamik analizi güvenlik operasyonlarına entegre ederek ve sektördeki meslektaşları arasında işbirliğini teşvik ederek uyum sağlaması gerekiyor. OtterCandy’nin gelişiminin sürekli olarak yakından izlenmesi, bir sonraki ClickFake Röportaj saldırıları dalgasını hafifletmek için hayati önem taşıyacak.
ClickFake Röportaj kampanyasının OtterCandy’ye odaklanması, WaterPlum’un operasyonel taktik kitabında hesaplanmış bir artış olduğunu gösteriyor.
Ağustos 2025’teki geliştirmeleriyle OtterCandy, savunmacılar için daha zorlu bir mücadele oluşturuyor ve dikkatli izleme ve sağlam savunma duruşları gerektiriyor.
Bu tehdidin sürekli analizi, kritik altyapının ve hassas verilerin Kuzey Kore bağlantılı bu düşmana karşı korunması için gerekli olacaktır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.