Çin, Hong Kong ve Pakistan’daki çoklu sektörler, daha geniş bir siber casusluk kampanyasının bir parçası olarak Ung0002 (bilinmeyen grup 0002) olarak izlenen bir tehdit faaliyet kümesinin hedefi haline geldi.
Seqrite Labs araştırmacısı Subhajeet Singha, bu hafta yayınlanan bir raporda, “Bu tehdit varlığı, kurbanları cezbetmek için CV temalı dekoy belgelerini sürekli olarak konuşlandırırken, kısayol dosyaları (LNK), VBScript ve kobalt grev ve metasploit gibi yetki sonrası araçları kullanmak için güçlü bir tercih gösteriyor.”
Etkinlik, biri Mayıs ve Eylül 2024 arasında gerçekleşen Cobalt Operasyonu ve Ocak ve Mayıs 2025 arasında meydana gelen Ambermist Operasyonu adlı iki ana kampanyayı kapsıyor.
Bu kampanyaların hedefleri arasında savunma, elektroteknik mühendisliği, enerji, sivil havacılık, akademi, tıbbi kurumlar, siber güvenlik, oyun ve yazılım geliştirme sektörleri bulunmaktadır.
Kobalt Operasyonu Whisper, ilk olarak Ekim 2024’ün sonlarında Seqrite Labs tarafından belgelendi ve LNK ve görsel temel komut dosyalarını geçici yükler olarak kullanan Kobalt Strike Beacons’ı sunmak için mızrak aktı saldırıları yoluyla yayılan zip arşivlerinin kullanımını detaylandırdı.
Şirket, “Kampanyanın kapsamı ve karmaşıklığı, uyarlanmış cazibelerle birleştiğinde, bu endüstrilerdeki hassas araştırmalar ve fikri mülkiyetten ödün vermek için uygun bir grubun hedefli bir çabasını şiddetle öneriyor.”
Ambermist saldırı zincirlerinin, müfredat vitae olarak maskelenen LNK dosyaları sunmak için mızrak aktı e-postalarından yararlandığı ve INET sıçan ve blister dll yükleyicisinin dağıtılmasıyla sonuçlanan çok aşamalı bir enfeksiyon sürecini ortaya çıkarmak için bir başlangıç noktası olarak bulundu.
Ocak 2025’te tespit edilen alternatif saldırı dizilerinin, e -posta alıcılarını, Gölge Sıçanını yürütmek için kullanılan PowerShell komutlarını başlatmak için ClickFix taktiklerini kullanan sahte captcha doğrulama kontrollerine hizmet etmek için Pakistan Deniz İşleri Bakanlığı (MOMA) web sitesine sahte açılış sayfalarına yönlendirdiği bulunmuştur.
DLL yan yükleme yoluyla başlatılan Shadow Rat, daha fazla komut beklemek için bir uzak sunucu ile iletişim kurabilir. Inet sıçan, Shadow Rat’ın değiştirilmiş bir versiyonu olarak değerlendirilirken, blister DLL implantı bir kabuk kodu yükleyici olarak işlev görür ve sonunda ters kabuklu bir implant için yol açar.
Tehdit oyuncusunun kesin kökenleri belirsizliğini koruyor, ancak kanıtlar bunun Güneydoğu Asya’dan casusluk odaklı bir grup olduğuna işaret ediyor.
Singha, “UNG0002, Güney Asya’dan en azından Mayıs 2024’ten beri birden fazla Asya yargı bölgesini hedefleyen tutarlı operasyonları sürdüren sofistike ve kalıcı bir tehdit varlığını temsil ediyor.” Dedi. “Grup, tutarlı taktikler, teknikler ve prosedürleri korurken araç setlerini sürekli olarak geliştirerek yüksek uyarlanabilirlik ve teknik yeterlilik gösterir.”