Kod adı Çin’e uyumlu bir tehdit aktörü Baba0388 olarak bilinen Go tabanlı bir implant sunmak üzere tasarlanan, Kuzey Amerika, Asya ve Avrupa’yı hedef alan bir dizi hedef odaklı kimlik avı kampanyasına atfedildi. GOVERSHELL.
Volexity, çarşamba günü yayınlanan bir raporda, “Başlangıçta gözlemlenen kampanyalar hedeflere göre uyarlandı ve mesajların meşru görünen, tamamen uydurma kuruluşlardan kıdemli araştırmacılar ve analistler tarafından gönderildiği iddia edildi.” dedi. “Bu hedef odaklı kimlik avı kampanyalarının amacı, kötü amaçlı bir yük içeren, uzaktan barındırılan bir arşive yönlendiren bağlantıların tıklanması yoluyla hedeflerin sosyal mühendisliğini yapmaktı.”
O tarihten bu yana, saldırıların arkasındaki tehdit aktörünün İngilizce, Çince, Japonca, Fransızca ve Almanca da dahil olmak üzere birçok dili kapsayan farklı tuzaklardan ve kurgusal kimliklerden yararlandığı söyleniyor.
Kampanyaların ilk yinelemelerinin, bazı durumlarda bulut tabanlı bir hizmette veya kendi altyapılarında barındırılan kimlik avı içeriğine bağlantılar yerleştirdiği, bunun da bazı durumlarda kötü amaçlı yazılımların yayılmasına yol açtığı tespit edildi. Bununla birlikte, tehdit aktörlerinin bağlantıyı göndermeden önce alıcılarla zaman içinde güven oluşturmaya başvurduğu takip eden dalgalar, “son derece özel” olarak tanımlanıyor; bu teknik, uyum oluşturma kimlik avı adı verilen bir teknik.
Kullanılan yaklaşımdan bağımsız olarak bağlantılar, DLL tarafından yükleme kullanılarak başlatılan sahte bir DLL yükünü içeren bir ZIP veya RAR arşivine yönlendirir. Yük, GOVERSHELL adı verilen aktif olarak geliştirilmiş bir arka kapıdır. Etkinliğin Proofpoint tarafından UNK_DropPitch adı altında takip edilen bir kümeyle örtüştüğünü ve Volexity’nin GOVERSHELL’i C++ kötü amaçlı yazılım ailesinin halefi olarak nitelendirdiğini belirtmekte fayda var. SağlıkKick.
Bugüne kadar GOVERSHELL’in beş farklı çeşidi tespit edilmiştir.
- SağlıkKick (İlk olarak Nisan 2025’te gözlemlendi), cmd.exe kullanarak komutları çalıştırabilecek donanıma sahip
- TE32 (İlk olarak Haziran 2025’te gözlemlendi), komutları doğrudan PowerShell ters kabuğu aracılığıyla yürütmek üzere donatılmış
- TE64 (İlk olarak Temmuz 2025’in başlarında gözlemlendi), sistem bilgilerini almak, geçerli sistem saatini almak, powershell.exe aracılığıyla komut çalıştırmak ve yeni talimatlar için harici bir sunucuyu yoklamak için PowerShell’i kullanarak yerel ve dinamik komutları çalıştıracak donanıma sahiptir.
- WebSocket (İlk olarak Temmuz 2025’in ortasında gözlemlendi), powershell.exe aracılığıyla bir PowerShell komutunu ve sistem komutunun bir parçası olarak uygulanmamış bir “güncelleme” alt komutunu çalıştıracak şekilde donatılmıştır.
- İşaret (İlk kez Eylül 2025’te gözlemlendi), temel yoklama aralığını ayarlamak, rastgele hale getirmek veya powershell.exe aracılığıyla bir PowerShell komutunu yürütmek için PowerShell’i kullanarak yerel ve dinamik komutları çalıştıracak donanıma sahiptir.
Arşiv dosyalarını hazırlamak için kötüye kullanılan meşru hizmetlerden bazıları arasında Netlify, Sync ve OneDrive yer alıyor; e-posta mesajlarının ise Proton Mail, Microsoft Outlook ve Gmail’den gönderildiği belirlendi.
UTA0388’in ticari becerisinin dikkate değer bir yönü, kimlik avı kampanyaları için İngilizce, Çince ve Japonca içerik oluşturmak amacıyla OpenAI ChatGPT’yi kullanmasıdır; kötü amaçlı iş akışlarına yardımcı olmak; ve AI şirketinin bu hafta başında açıkladığı gibi, çekirdek ve fscan gibi açık kaynaklı araçların kurulumuyla ilgili bilgileri arayın. Tehdit aktörünün kullandığı ChatGPT hesapları daha sonra yasaklandı.
Volexity, operasyonlarını artırmak için büyük bir dil modelinin (LLM) kullanımının, mesajı göndermek için kullanılan kişilerden mesaj içeriğindeki genel tutarlılık eksikliğine kadar uzanan, kimlik avı e-postalarında yaygın olan uydurmalarda kanıtlandığını söyledi.
Şirket, “Kampanyanın hedefleme profili, Asya’nın jeopolitik sorunlarıyla ilgilenen ve Tayvan’a özel olarak odaklanan bir tehdit aktörüyle tutarlıdır” diye ekledi. “Bu kampanyada kullanılan e-postalar ve dosyalar, Volexity’nin, UTA0388’in bazı durumlarda çok az veya hiç insan gözetimi olmadan bu içeriği oluşturan ve hedeflere gönderen otomasyondan, LLM’den veya başka bir şeyden yararlandığını orta derecede güvenle değerlendirmesine yol açtı.”
Açıklama, StrikeReady Labs’ın Çin bağlantılı şüpheli bir siber casusluk kampanyasının havacılıkla ilgili bir Sırp hükümet dairesinin yanı sıra Macaristan, Belçika, İtalya ve Hollanda’daki diğer Avrupa kurumlarını hedef aldığını söylemesinin ardından geldi.
Eylül ayı sonlarında gözlemlenen kampanya, tıklandığında kurbanı sahte bir Cloudflare CAPTCHA doğrulama sayfasına yönlendiren bir bağlantı içeren kimlik avı e-postaları göndermeyi içeriyor; bu sayfa, içinde sahte bir belge açmaktan ve DLL yan yüklemesini kullanarak PlugX’i gizlice başlatmaktan sorumlu PowerShell’i çalıştıran bir Windows kısayol (LNK) dosyasının bulunduğu bir ZIP arşivinin indirilmesine yol açıyor.