Hindistan hükümet kurumları, daha önce belgelenmemiş ticari araçları kullanarak Pakistan’da faaliyet gösteren bir tehdit aktörünün gerçekleştirdiği iki saldırıda hedef alındı.
Kampanyalara kod adı verildi Sincap Saldırısı Ve Sayfa Saldırısı Zscaler ThreatLabz tarafından Eylül 2025’te tespit edildi.
Araştırmacılar Sudeep Singh ve Yin Hong Chang, “Bu kampanyalar, Pakistan bağlantılı Gelişmiş Kalıcı Tehdit (APT) grubu APT36 ile bazı benzerlikler taşısa da, bu analiz sırasında belirlenen faaliyetin yeni bir alt gruptan veya paralel olarak faaliyet gösteren Pakistan bağlantılı başka bir gruptan kaynaklanabileceğini orta derecede güvenle değerlendiriyoruz.” dedi.
Sheet Attack, adını Google E-Tablolar, Firebase ve e-posta gibi meşru hizmetlerin komuta ve kontrol (C2) için kullanılmasından alır. Öte yandan, Gopher Strike’ın, alıcıya Adobe Acrobat Reader DC için bir güncelleme indirmesi talimatını veren görünüşte zararsız bir açılır pencerenin üst üste bindirildiği bulanık bir görüntü içeren PDF belgelerini sunmak için bir başlangıç noktası olarak kimlik avı e-postalarından yararlandığı değerlendiriliyor.
Resmin temel amacı, kullanıcılara belgenin içeriğine erişmek için güncellemeyi yüklemenin gerekli olduğu izlenimini vermektir. Sahte güncelleme iletişim kutusundaki “İndir ve Yükle” düğmesini tıklamak, yalnızca istekler Hindistan’da bulunan IP adreslerinden geldiğinde ve Kullanıcı Aracısı dizesi Windows’a karşılık geldiğinde bir ISO görüntü dosyasının indirilmesini tetikler.
Zscaler, “Bu sunucu tarafı kontrolleri, otomatik URL analiz araçlarının ISO dosyasını almasını önleyerek, kötü amaçlı dosyanın yalnızca amaçlanan hedeflere teslim edilmesini sağlar” dedi.
ISO görüntüsüne gömülü kötü amaçlı yük, GOGITTER adlı Golang tabanlı bir indiricidir ve şu konumlarda mevcut değilse bir Visual Basic Komut Dosyası (VBScript) dosyası oluşturmaktan sorumludur: “C:\Users\Public\Downloads”, “C:\Users\Public\Pictures” ve “%APPDATA%.” Komut dosyası, önceden yapılandırılmış iki C2 sunucusundan her 30 saniyede bir VBScript komutlarını alacak şekilde tasarlanmıştır.
GOGITTER ayrıca yukarıda belirtilen VBScript dosyasını her 50 dakikada bir çalıştıracak şekilde yapılandırılmış zamanlanmış bir görevi kullanarak kalıcılığı ayarlar. Ayrıca aynı üç klasörde “adobe_update.zip” adlı başka bir dosyanın varlığını da tespit eder. ZIP dosyası mevcut değilse arşivi özel bir GitHub deposundan (“github”) çeker.[.]com/jaishankai/sockv6″). GitHub hesabı 7 Haziran 2025’te oluşturuldu.
İndirme başarılı olduktan sonra saldırı zinciri “adobe-acrobat” etki alanına bir HTTP GET isteği gönderir.[.]GOGITTER daha sonra ZIP dosyasından “edgehost.exe” dosyasını çıkarır ve çalıştırır. Golang tabanlı hafif bir arka kapı olan GITSHELLPAD, C2 için tehdit aktörleri tarafından kontrol edilen özel GitHub depolarından yararlanır.
Özellikle, “command.txt” adlı dosyanın içeriğine erişmek için GET isteği aracılığıyla her 15 saniyede bir C2 sunucusunu yoklar. Altı farklı komutu destekler –
- cd..çalışma dizinini ana dizine değiştirmek için
- CDdizini belirtilen yola değiştirmek için
- koşmakçıktıyı yakalamadan arka planda bir komut çalıştırmak için
- yüklemekYol tarafından belirtilen yerel bir dosyayı GitHub deposuna yüklemek için
- indirmekbir dosyayı belirtilen yola indirmek için
- varsayılan durumcmd /c kullanarak bir komutu çalıştırmak ve çıktıyı yakalamak için
Komut yürütmenin sonuçları “result.txt” adlı bir dosyada saklanır ve bir HTTP PUT isteği aracılığıyla GitHub hesabına yüklenir. Komut başarıyla yürütüldüğünde “command.txt” GitHub deposundan silinir.
Zscaler, tehdit aktörünün kurbanın makinesine erişim sağladıktan sonra cURL komutlarını kullanarak RAR arşivlerini indirdiğini de gözlemlediğini söyledi. Arşivler, sistem bilgilerini toplamaya ve birden fazla kod çözme turundan sonra Cobalt Strike Beacon’u teslim etmek için kullanılan özel Golang tabanlı yükleyici GOSHELL’i bırakmaya yönelik yardımcı programları içerir. Aletler kullanımdan sonra makineden silinir.
Siber güvenlik şirketi, “GOSHELL’in boyutu, Taşınabilir Yürütülebilir (PE) katmanına gereksiz baytlar eklenerek yapay olarak yaklaşık 1 gigabayta şişirildi, bu muhtemelen antivirüs yazılımı tarafından tespit edilmekten kaçınmak için yapıldı” dedi. “GOSHELL yalnızca kurbanın ana bilgisayar adını sabit kodlanmış bir listeyle karşılaştırarak belirli ana bilgisayar adları üzerinde çalışır.”