Bir Çin-Nexus tehdit oyuncusu, devlete uyumlu Cyberwarfare’in zorlayıcı bir illüstrasyonuyla Çin Mobile’ın bir bölümü olan China Mobile Tietong Co., Ltd.’ye karşı son derece gelişmiş bir saldırı başlattı.
Seqrite Labs Apt-Team tarafından “Dragonclone” olarak adlandırılan bu operasyon, finansal kazancın çok ötesine geçen Çin bağlantılı siber tehditlerin arkasındaki stratejik motivasyonların altını çiziyor.
Sofistike Siber Savaş Taktikleri
Fidye yazılımı veya hizmet olarak kötü amaçlı yazılım modelleri tarafından yönlendirilen Ecrime aktörlerinin aksine, bu rakipler uzun vadeli zeka toplantısına ve kitlesel casusluk üzerine odaklanan devlet destekli hedeflerle faaliyet göstermektedir.
Anahtar bir telekomünikasyon sağlayıcısına sızarak, saldırganlar kritik omurga altyapısına erişir ve büyük miktarlarda trafiği izlemelerini ve Çin devletini potansiyel tehditleri önleyici olarak ele almaları için konumlandırmalarını sağlar.
Bu kampanya, Çin hükümetinin Halk Kurtuluş Ordusu (PLA) ve Devlet Güvenliği Bakanlığı (MSS) gibi kuruluşlar aracılığıyla siber yeteneklere yapılan onlarca yıllık yatırımı yansıtıyor ve siber savaşı toplum ve özel sektörler içinde sivil bir görev olarak yerleştiriyor.
Dragonclone kampanyasının teknik dökümü
Dragonclone kampanyası, Çin mobil Tietong çalışanları için dahili bir eğitim programı olarak maskelenen bir fermuar dosyası sunan bir Spearphing saldırısı (T1566.001) ile başlar.
SHA256 Hash “FEF69F8747C368979A9E4C62F4648EA23314B5F41981D9C01C1CDDD96FB07365” ile Dosya ile, “China Camy Limited 2025’in Mümkün olduğu gibi İç Eğitim Programı: CÜRSELİK İÇİN KURSINDA KURTARMA YAPILIR.
Bu yürütülebilir yapılabilir, Veletrix olarak tanımlanan özelleştirilmiş kötü amaçlı bir yükleyici yüklemek için “drstat.dll” konusuna bağımlılığı kullanan meşru Wondershare Recoverit yazılımı aracılığıyla DLL yan yüklemeden yararlanır.
drstat.dllYürütme üzerine Veletrix, algılamadan kaçınmak için 10 saniyelik bir uyku döngüsü ve bip API üzerinden sistem ses kontrolleri gibi sandbox önleyici teknikler kullanır.
Daha sonra, Loadlibrarya ve GetProcAddress’i kullanarak VirtualLocexnuma ve RTLIPV4StringToaddressa gibi Windows API’lerini dinamik olarak yüklerken, yığın dizeleriyle niyetini gizler.
Benzersiz bir gizleme yöntemi, şifrelenmiş kabuk kodunu, 0x6F anahtarıyla bir XOR işlemi yoluyla şifre çözülen bir dizi IPv4 adresine dönüştürür.
Kabuk kodu, geleneksel izlemeyi atlamak için Page_execute_readwrite izinleriyle yürütülen enumcalendarinfoa kullanılarak alışılmadık bir şekilde enjekte edilir.
Daha fazla analiz, Shellcode’un ağ iletişimini WSastartup ve Connect gibi Winsock API’leri aracılığıyla başlattığını ve TCP bağlantı noktasında 9999’da 62.234.24.38 numaralı telefonu hedefleyerek, Çin, Çin’de Tencent Cloud altyapısında barındırıldığı doğrulandığını ortaya koyuyor.
Yakalanan trafik, sunucunun yaklaşık 5MB şifrelenmiş veri gönderdiğini, 0x99 anahtarlı XOR üzerinden şifre kaldırarak, ikinci aşamalı bir Golang DLL’yi ortaya çıkardığını ve AMD64 sistemleri için potansiyel olarak ters bir kabuk gösteriyor.
Özel Yara kurallarıyla eşleşen ek örnekler, 121.37.80.227 ve 156.238.236.130 gibi C&C IP’leri ile Çin altyapısına geri dönüyor veya Çince dil hizmetlerine ev sahipliği yapıyor.
Bu bulgular, Çin-Nexus aktörleri arasında yaygın olan şüpheli bir saldırı güvenlik aracı (OST) olan Vshell’in kullanımını göstermektedir.
Telekomünikasyon altyapısının hedeflenmesi, altyapı ilişkilendirmesi ile birleştiğinde, siber savaş taktiklerinde kritik bir evrimi işaret ederek, bozulmaya öncelik veren devlete uyumlu bir operasyona işaret ediyor.
Araştırmacıların, bu tehditler gelişmeye devam ettikçe, ortamlarında Veletrix ve VShell göstergeleri için uyanık kalmaları isteniyor.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.