Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
Tehdit Oyuncuları, Windows Makinelerini Hedeflere Gizat Taktikleri Dağıtım
Akhabokan Akan (Athokan_akhsha) •
15 Nisan 2025
Muhtemelen Çin ulus-devlet korsanları, daha önce görülmemiş kötü amaçlı yazılım arka kapı varyantlarını ve veri hırsızlığı için kaçınma özelliklerine sahip Avrupa şirketlerini hedefliyor.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Brüksel merkezli güvenlik firması Nviso Salı günü, hackleme kampanyasının daha önce Çinli hackerlarla ilişkili özel bir kötü amaçlı yazılım arka kapısı olan Brickstorm varyantlarını dağıttığını söyledi.
Kampanyayı, Mantiant’ın en az 2023’ten beri ağ kenar cihazlarını saldırıya uğratan “şüpheli Çin -nexus casusluk oyuncusu” olarak belirleyen bir tehdit oyuncusu olan UNC5221 olarak izlenen bir tehdit oyuncusuna bağlar.
Nviso, “Yeni tanımlanan arka kapı varyantlarının, en az 2022’den beri uzun süredir devam eden siber boyama kampanyalarında kullanıldığına inanılıyor ve Avrupa Endüstrilerini Çin Halk Cumhuriyeti’ne hedefliyor.” Dedi.
Arka kapı ilk olarak Mantiant tarafından ortaya çıkarıldı. Windows işletim sistemini hedefleyen yeni varyantlar, bilgisayar korsanlarını dosya yönetimi ve ağ tünelleme özellikleri ile donatıyor. Mantiant tarafından ortaya çıkarılan varyantın aksine, Windows varyantları komut yürütme özellikleri ile donatılmamıştır.
Nviso, “Komuta yürütmesinden doğrudan arka kapıdan kaçınmanın, ebeveyn-çocuk süreç ilişkilerini analiz eden modern güvenlik çözümlerinin tespitinden kaçınmak için kasıtlı bir seçim olduğundan şüpheleniliyor.” Dedi.
Benzer şekilde, saldırganlar Cloudflare ve Heroku uygulamaları gibi genel bulut hizmetlerini bir cephe olarak kullandı ve tespitten kaçınmak için Quad9 ve NextDNS gibi etki alanı hizmetleri kullandı. Şirket, HTTPS’nin şifreleme dağıtımına ilişkin DNS nedeniyle, “Düzenli ağ düzeyinde DNS izleme atlatıldı” dedi.
Ağa girdikten sonra, grup keşif yapar ve veri açığa vurma yapar.
Nviso tehdit avı ve istihbarat ortağı Michel Coene, iki yeni varyantın yetenekler açısından sofistike olmadığını, hackerların operasyonları hakkında daha fazla bilgi sağladığını söyledi.
Coene, “Örneğimiz aktörün tarihsel operasyonları hakkında ek bilgiler sunuyor. Örneğin, Mantiant’ın örneklerinin aksine, bizimki diğer bulut sağlayıcısının kullanımının ve önceki bağımlılıkların kimliklerine izin verdi.”
Mantiant’ın yakın tarihli bir raporu, UNC5221’in CVE-2025-22457 olarak izlenen bir tampon taşması Ivanti Connect Secure’dan yararlandığını söyledi. Kampanya, Çin-Nexus casusluk aktörlerine atfedilen özel kötü amaçlı yazılım ailesi olan “Spawn Ekosistemine” bağlı kötü amaçlı yazılımlar kullandı (bkz: bkz:: Legacy Ivanti VPN Cihazlarını Hedefleyen Çin Casusluk Grubu).
Güvenlik firması TeamT5 ayrıca CVE-2025-22457’den yararlanan bir Çin hack kampanyasını ve Spawnchimera kötü amaçlı yazılımını dağıtmak için CVE-2025-0282 olarak izlenen başka bir Ivanti kusurunu ortaya çıkardı. Şirket, kampanyanın Avrupa genelinde bir dizi sektörü hedef aldığını söyledi.
Nviso, Windows Brickstorm örnekleri ve Ivanti cihazları arasında bir “doğrudan bağlantı” kuramadı, ancak TeamT5 tarafından açıklanan faaliyetlerin NVision tarafından gözlemlenen kampanyalarla uyumlu olduğunu söyledi.
Coene, “Son yıllarda, VPN cihazının sürekli sömürüsü Çin’e birçok kez atfedildi. Bu yoğun hedefleme, Nviso’nun olay müdahale faaliyetlerinin önemli bir kısmı için geçen hafta açıklandı.” Dedi.
Sanal özel ağlar ve diğer kenar cihazları genellikle yeniden başlatılmadan veya yamalanmadan aylarca çalışır ve bilgisayar korsanlarının sürekli çalışmasına ve algılamadan hedef ağda kalmasına izin verir.
Çinli gruplar, bu cihazları gizli casusluk operasyonlarının bir parçası olarak giderek daha fazla hedefliyorlar ve bazen yıllarca tespit edilmeyen kurban ağlarında kalmalarına izin veriyorlar (bkz:: Sophos yarım on yıllık sürekli Çin saldırısını açıklıyor).