Girdi Yöntemi Düzenleyici (IME) yazılımı ile ilişkili terk edilmiş bir güncelleme sunucusu Sogou Zhuyin, C6door ve Gtelam da dahil olmak üzere çeşitli kötü amaçlı yazılım ailelerini öncelikle Doğu Asya’daki kullanıcıları hedefleyen saldırılarda teslim etmek için bir casusluk kampanyasının bir parçası olarak tehdit aktörleri tarafından kaldırıldı.
Trend Micro araştırmacıları Nick Dai ve Pierre Lee kapsamlı bir raporda, “Saldırganlar, kötü amaçlı yazılım dağıtmak ve hassas bilgiler toplamak için kaçırılmış yazılım güncellemeleri ve sahte bulut depolama veya oturum açma sayfaları gibi sofistike enfeksiyon zincirleri kullandı.” Dedi.
Haziran 2025’te tanımlanan kampanyaya kodlandı Dokun Siber Güvenlik Şirketi tarafından. Etkinliğin hedefleri esas olarak Çin, Tayvan, Hong Kong, Japonya, Güney Kore ve denizaşırı Tayvanlı topluluklarda muhalifler, gazeteciler, araştırmacılar ve teknoloji/iş liderleri bulunmaktadır. Tayvan tüm hedeflerin%49’unu, ardından Kamboçya (%11) ve ABD (%7) izlemektedir.
Saldırganların Ekim 2024’te gecikmiş alan adının kontrolünü ele geçirdiği söyleniyor (“Sogouzhuyin[.]com “) Haziran 2019’da güncelleme almayı durduran meşru bir IME hizmeti olan Sogou Zhuyin ile ilişkili, bir ay sonra kötü niyetli yükleri yaymak için birkaç yüz kurbanın etkilendiği tahmin ediliyor.
Araştırmacılar, “Saldırgan terk edilmiş güncelleme sunucusunu devraldı ve kaydeddikten sonra Ekim 2024’ten beri kötü amaçlı güncellemeleri barındırmak için alanı kullandı.” Dedi. “Bu kanal aracılığıyla GTELAM, C6DOOR, DESFY ve TOSHIS dahil olmak üzere çoklu kötü amaçlı yazılım ailesi konuşlandırıldı.”
Konuşlandırılan kötü amaçlı yazılım aileleri, uzaktan erişim (sıçan), bilgi hırsızlığı ve arka kapı işlevselliği dahil olmak üzere farklı amaçlara hizmet eder. Tespitten kaçınmak için, tehdit aktörleri ayrıca ağ faaliyetlerini saldırı zincirinde gizlemek için üçüncü taraf bulut hizmetlerinden de yararlandı.
Bu kötü amaçlı yazılım suşları, uzaktan erişim, bilgi hırsızlığı ve arka kapı işlevselliği sağlar, saldırganlar ayrıca Google Drive gibi meşru bulut depolama hizmetlerini bir veri açığa vurma noktası olarak kullanır ve kötü amaçlı ağ trafiğini gizler.
Saldırı zinciri, şüphesiz kullanıcıların Sogou Zhuyin’in resmi yükleyicisini, Mart 2025’te Sogou Zhuyin için geleneksel Çin Wikipedia sayfa girişi gibi indirdiğinde başlar.[.]Sogouzhuyin[.]com.
Yükleyici tamamen zararsız olsa da, kötü niyetli etkinlik, otomatik güncelleme işlemi kurulumdan birkaç saat sonra tetiklendiğinde başlar ve güncelleyici ikili, “zhuyinup.exe” nin gömülü bir URL’den bir güncelleme yapılandırma dosyasını getirmesine neden olur: “srv-pc.sogouzhuyin[.]com/v1/yükseltme/sürüm. “
Desfy, Gtelam, C6door ve Toshis’e, yüksek değerli hedeflerden veri toplama ve veri toplama hedefine sahip olan bu güncelleme işlemi –
- Toshis (İlk olarak Aralık 2024 algılandı), harici bir sunucudan sonraki aşamalı yükleri (Cobalt Strike veya Mythic Framework için Merlin Agent) almak için tasarlanmış bir yükleyici. Aynı zamanda Tropic Trooper’a atfedilen ve geçmişte giriş kabı adı verilen kobalt grevi veya bir arka kapı sunmak için kullanılan bir Xiangoop çeşididir.
- Hevesli (İlk olarak Mayıs 2025 tespit edildi), iki konumdan dosya adlarını toplayan bir casus yazılım: masaüstü ve program dosyaları
- Jelam (İlk olarak Mayıs 2025), belirli bir uzantılar (PDF, DOC, DOCX, XLS, XLSX, PPT ve PPTX) ile eşleşen dosya adlarını toplayan başka bir casus yazılım olan ve detayları Google Drive’a ekspiltratlar
- C6doorsistem bilgilerini toplamak, keyfi komutları çalıştırmak, dosya işlemlerini yapmak/indirmek, dosyaları yüklemek/indirmek, ekran görüntülerini yakalamak, koşu süreçlerini listelemek ve Shellcode’u hedeflenen prosese enjekte etmek için komut ve kontrol için HTTP ve WebSocket protokollerini kullanan ısmarlama Go tabanlı bir arka kapı
C6door’un daha fazla analizi, örnek içinde gömülü basitleştirilmiş Çince karakterlerin varlığını ortaya çıkarmıştır, bu da eserin arkasındaki tehdit aktörünün Çince’de yetkin olabileceğini düşündürmektedir.
Trend Micro, “Saldırganın hala keşif aşamasında olduğu, öncelikle yüksek değerli hedefler aradığı anlaşılıyor.” Dedi. “Sonuç olarak, mağdur sistemlerinin çoğunluğunda başka bir sömürü sonrası faaliyet gözlenmedi. Analiz ettiğimiz vakalardan birinde, saldırgan kurbanın ortamını inceliyor ve görsel stüdyo kodu kullanarak bir tünel oluşturuyordu.”
İlginç bir şekilde, Toshis’in bir kimlik avı web sitesi kullanılarak hedeflere dağıtıldığına dair kanıtlar var, muhtemelen Doğu Asya’yı hedefleyen bir mızrak aktı kampanyası ve daha az bir ölçüde Norveç ve ABD’nin kimlik avı saldırılarının da iki yönlü bir yaklaşım benimsediği gözlemlendi-
- Saldırgan tarafından kontrol edilen uygulamalara yönlendiren ve OAuth rızası veren ücretsiz kuponlar veya PDF okuyucuları ile ilgili lures ile sahte oturum açma sayfaları sunmak veya
- TOSHIS içeren kötü amaçlı fermuar arşivlerini indirmek için taklit bulut akışını taklit eden sahte bulut depolama sayfaları sunmak
Bu kimlik avı e-postaları, alıcıyı kötü amaçlı içerikle etkileşime girmeye kandıran, sonuçta DLL yan yüklemesini kullanarak Toshis’i düşürmek veya Google veya Microsoft posta kutuları üzerinde yetkisiz erişim ve kontrol elde etmek için tasarlanmış çok aşamalı bir saldırı dizisini bir OAuth izin istemi aracılığıyla etkinleştiren bir tuzak belgesi içerir.
Trend Micro, Taoth’un Itochu tarafından daha önce belgelenmiş tehdit faaliyeti ile altyapı ve takım örtüşmesini, keşif, casusluk ve e -posta istismarına odaklanan kalıcı bir tehdit aktörünün resmini boyadığını söyledi.
Bu tehditlerle mücadele etmek için kuruluşların herhangi bir destek sonu yazılımı için ortamlarını rutin olarak denetlemeleri ve bu tür uygulamaları derhal kaldırmaları veya değiştirmeleri önerilir. Kullanıcılara, erişim vermeden önce bulut uygulamaları tarafından talep edilen izinleri gözden geçirmesi istenir.
Şirket, “Sogou Zhuyin operasyonunda, tehdit oyuncusu düşük bir profil sürdürdü ve kurbanlar arasındaki değerli hedefleri belirlemek için keşif yaptı.” Dedi. “Bu arada, devam eden mızrak aktı operasyonlarında, saldırgan daha fazla sömürü için hedeflere kötü niyetli e-postalar dağıttı.”