2025 yazında şirket içi Microsoft SharePoint Server örneklerindeki güvenlik açıkları aracılığıyla düzenlenen birden fazla saldırıyla bağlantılı olan ve Warlock olarak bilinen yeni ortaya çıkan bir fidye yazılımı türü, Halcyon’un Fidye Yazılımı Araştırma Merkezi’ndeki araştırmacılar tarafından yüksek derecede kesinlik ile Çin ulus devleti tehdit aktörleriyle ilişkilendirildi.
SharePoint saldırıları, ToolShell adı verilen bir güvenlik açığı zinciri aracılığıyla ortaya çıktı ve Microsoft tarafından bilinen iki Çin gelişmiş kalıcı tehdit (APT) grubuyla (Linen Typhoon ve Violet Typhoon) hızlı bir şekilde ilişkilendirildi.
Aynı zamanda Microsoft, Storm-2603 olarak bilinen sınıflandırılmamış bir tehdit aktörünün ToolShell güvenlik açıklarından yararlandığını gözlemledi ve hızla Warlock ile bir bağlantı kurdu. Ağustos ayının sonlarına doğru Warlock’un operatörleri, Colt ve Orange telekom firmaları da dahil olmak üzere çok sayıda kurbanın olduğunu iddia etmişti.
İki ay sonra, Halcyon’un ekibi artık Warlock’un muhtemelen Microsoft tarafından adlandırılan Çin APT’leriyle bağları olduğunu söylüyor; bu değerlendirme, çetenin ToolShell’e erken erişimine ve yeni kötü amaçlı yazılım örneklerine ve teknik analize dayanıyor; bunların suçlulardan çok iyi finanse edilen devlet gruplarıyla daha tutarlı profesyonel düzeyde gelişimi vurguladığını iddia ediyor.
Ekip, “Yeni teknik analizimiz, Warlock’un en başından beri ilişkilendirmeyi karıştırmak, tespitten kaçınmak ve etkiyi hızlandırmak için birden fazla fidye yazılımı ailesi kurmayı planladığını tespit etmeyi içeriyordu. Teknik örtüşmelere dayanarak Halcyon, Warlock’u Storm-2603 – Microsoft – ve Cl-CRI-1040 – Palo Alto Unit 42 ile aynı grup olarak izliyor” dedi.
Halcyon ekibi ayrıca, Warlock’un Mayıs 2025 veri sızıntısından önce kayıtlı son LockBit üyesi olma “ayrıcalığına” sahip olduğunu ve LockBit 3.0’ı operasyonel bir araç ve kendi fidye yazılımı dolabı için bir geliştirme temeli olarak kullandığını belirterek, daha önce LockBit için önerilen bağlantıları da güçlendirdi.
Halcyon Fidye Yazılımı Araştırma Merkezi’nin kıdemli başkan yardımcısı Cynthia Kaiser, SharePoint ihlalinin yüksek profilli ve geniş çapta bildirilen doğası göz önüne alındığında, bu atıfın birdenbire ortaya çıkmadığını söyledi.
Kaiser, Computer Weekly’ye şunları söyledi: “Bununla birlikte, bu bulgular özellikle önemlidir çünkü ulus devlet faaliyetlerinden kaynaklanan daha fazla fidye yazılımı saldırısı endişesini artırmaktadır.” “Tarihsel olarak fidye yazılımı saldırıları ve ulus devlet saldırıları [or] casusluğun hedeflerine ulaşmak için farklı motivasyonları ve taktikleri var; fidye yazılımının ulus devlet faaliyetinin ikinci bir etkisi olabileceğini bilmek, hazırlıklı olmayan ağ savunucuları üzerinde daha fazla baskı yaratıyor.”
Bu örnekte Kasier, sözde ilişkinin kesin doğasını belirlemenin zor olduğunu söyledi; Warlock’un operatörleri geçmişte Çin devletinin siber ajanlarıyla çalışmış olan kişisel bağlantılardan yararlanıyor olabilir veya işbirliği daha doğrudan resmi, hatta muhtemelen doğrudan sözleşmeye dayalı olabilir. “Bu faaliyetin çoğunun Pekin’den zımni ancak açık bir şekilde onaylanmamasını bekliyoruz” diye ekledi.
Yeni sınır
Bu, finansal motivasyona sahip Çinli siber suçluların hükümetin herhangi bir tepkisi olmadan faaliyet göstermesine izin verilen ilk olay değil. Kaiser, 2021’de Microsoft Exchange Server’a yapılan Hafnium saldırılarına değindi ve bu da bir dereceye kadar örtüşmeyi gösterdi.
Bununla birlikte Kaiser, bu eğilimin büyümesini beklediğini ve Çin siber casusluğunun komşu bölgelere doğru giderek yaygınlaşmasının savunmacılar için yeni ve tehlikeli bir sınırı temsil ettiğini söyledi.
Kaiser, “Ağ savunucularının casusluk kampanyalarının fidye yazılımı saldırılarına dönüşme potansiyelinin farkında olması önemlidir. Ağ savunucuları, bir ulus devlet saldırısıyla uğraşırken doğal olarak fidye yazılımını düşünmeyebilir” dedi. “Eskiden fidye yazılımı ve ulus devlet saldırıları arasındaki ikili odak noktasının artık birlikte değerlendirilmesi gerekiyor. Bu sadece Çin’in meselesi değil. Onun genel anlamda daha sıradan hale gelmesine hazırlıklı olmamız gerekiyor; bu tek seferlik bir örnek değil.”