Ukraynalı kuruluşları hedef alan kimlik avı saldırılarının bir parçası olarak, daha önce bilinmeyen bir tehdit faaliyet kümesinin Slovak siber güvenlik şirketi ESET’i taklit ettiği gözlemlendi.
Mayıs 2025’te tespit edilen kampanya, güvenlik birimi tarafından bu isim altında takip ediliyor YenilmezOchotensebunu Rusya uyumlu olarak tanımlıyor.
ESET, The Hacker News ile paylaştığı APT Faaliyet Raporu Q2 2025 – Q3 2025’te “InedibleOchotense, truva atı bulaşmış bir ESET yükleyicisine bağlantı içeren hedef odaklı kimlik avı e-postalarını ve Signal metin mesajlarını birden fazla Ukraynalı kuruluşa gönderdi.” dedi.
InedibleOchotense’in, EclecticIQ tarafından belgelenen, BACKORDER adlı bir arka kapının ve Sandworm (aka APT44) hack grubu içinde bir alt küme olarak tanımladığı CERT-UA tarafından UAC-0212 olarak tanımlanan bir arka kapının konuşlandırılmasını içeren bir kampanyayla taktiksel örtüşmeleri paylaştığı değerlendiriliyor.
E-posta mesajı Ukraynaca yazılmış olsa da ESET, ilk satırın Rusça bir kelime kullandığını ve bunun muhtemelen bir yazım hatası veya çeviri hatasına işaret ettiğini söyledi. ESET’ten geldiği iddia edilen e-posta, izleme ekibinin e-posta adresleriyle ilişkili şüpheli bir işlem tespit ettiğini ve bilgisayarlarının risk altında olabileceğini iddia ediyor.
Etkinlik, alıcıları esetsmart gibi alanlarda barındırılan kötü amaçlı yükleyicileri yüklemeleri için kandırmak amacıyla ESET yazılımının ülkedeki yaygın kullanımından ve marka itibarından yararlanmaya yönelik bir girişimdir.[.]com, esetscanner[.]com ve estremover[.]com.
Yükleyici, komuta ve kontrol için Tor anonimlik ağını kullanan Kalambur (diğer adıyla SUMBUR) adlı bir C# arka kapısı çeşidinin yanı sıra meşru ESET AV Remover’ı da sunmak üzere tasarlanmıştır. Ayrıca OpenSSH’yi bırakabilir ve 3389 numaralı bağlantı noktasında Uzak Masaüstü Protokolü (RDP) aracılığıyla uzaktan erişimi etkinleştirebilir.
Geçen ay yayınlanan bir raporda CERT-UA’nın neredeyse aynı kampanyayı Sandworm içindeki başka bir alt küme olan UAC-0125’e atfettiğini belirtmekte fayda var.
Ukrayna’da Kum Solucanı Silecek Saldırıları
ESET’e göre Sandworm, Ukrayna’da yıkıcı kampanyalar düzenlemeye devam etti; Nisan 2025’te ZEROLOT ve Sting olarak takip edilen iki kötü amaçlı yazılımını isimsiz bir üniversiteyi hedef alarak başlattı ve ardından hükümet, enerji, lojistik ve tahıl sektörlerini hedef alan çok sayıda veri silici kötü amaçlı yazılım varyantı piyasaya sürüldü.
Şirket, “Bu dönemde, UAC-0099 grubunun ilk erişim operasyonlarını yürüttüğünü ve ardından doğrulanmış hedefleri takip faaliyeti için Sandworm’a aktardığını gözlemledik ve doğruladık” dedi. “Sandworm’un bu yıkıcı saldırıları, sileceklerin Ukrayna’daki Rusya yanlısı tehdit aktörlerinin sıklıkla kullandığı bir araç olmaya devam ettiğini hatırlatıyor.”
RomCom Saldırılarda WinRAR 0-Gününü İstismar Ediyor
Bu dönemde aktif olan Rusya bağlantılı bir diğer tehdit aktörü de, Avrupa’daki finans, imalat, savunma ve lojistik şirketlerini hedef alan saldırıların bir parçası olarak bir WinRAR güvenlik açığını (CVE-2025-8088, CVSS puanı: 8,8) silah haline getiren, Temmuz 2025’in ortalarında hedef odaklı kimlik avı kampanyaları başlatan RomCom’dur (diğer adıyla Storm-0978, Tropical Scorpius, UNC2596 veya Void Rabisu). ve Kanada.
“Başarılı yararlanma girişimleri, RomCom grubu tarafından kullanılan çeşitli arka kapıların, özellikle de SnipBot’un ortaya çıkmasına neden oldu [aka SingleCamper or RomCom RAT 5.0] ESET, RustyClaw’ın bir varyantı ve bir Mythic ajanı olduğunu söyledi.
AttackIQ, Eylül 2025’in sonlarında RomCom’un ayrıntılı bir profilinde, bilgisayar korsanlığı grubunun Ukrayna’daki savaşı çevreleyen jeopolitik gelişmeleri yakından takip ettiğini ve bunları muhtemelen Rusya’nın hedeflerini destekleyecek kimlik bilgileri toplama ve veri sızdırma faaliyetlerini yürütmek için kullandığını belirtti.
Güvenlik araştırmacısı Francis Guibernau, “RomCom başlangıçta kötü amaçlı yüklerin konuşlandırılmasını ve kalıcılığını kolaylaştırmak için tasarlanmış, önemli ve gasp odaklı fidye yazılımı operasyonlarına entegrasyonunu sağlayan bir e-suç ürünü kötü amaçlı yazılım olarak geliştirildi” dedi. “RomCom, tamamen kâr odaklı bir üründen, ulus devlet operasyonlarında yararlanılan bir hizmet aracına dönüştü.”