Truesec’teki siber güvenlik araştırmacıları, “Appsuite PDF editörü” kisvesi altında silahlandırılmış bir PDF editörü dağıtan sofistike bir kötü amaçlı yazılım kampanyası ortaya çıkardılar.
26 Haziran 2025’te başlayan bu operasyon, yazılımı ücretsiz bir yardımcı aracı olarak tanıtan birden fazla web sitesini içeriyor ve ManualFinder gibi benzer tehditler üzerindeki Expel bulgularıyla örtüşüyor.
Kötü niyetli yürütülebilir PDF editör.exe, AI veya büyük dil modelleri tarafından üretilen ağır şaşkınlık sergiler, MD5 6FD6C053F8FCF345EFAA04F16AC0BFFE, SHA1 2ECD2526991738904FEEAEA2023A58E4A2 CB15E1EC1A472631C53378D54F2043BA57586E3A28329C9DBF40CB69D7C10D2C.
Dağıtım taktikleri
Yürütme üzerine, yükleyici bir EULA ister, hxxp: //inst.productive-tools.a/status/installstart? hxxp: //vault.appsuites.ai/appsuites-pdf-1.0.28.exe.

Tamamlama, yüklemeyi onaylamak için ek GET isteklerini tetikler, HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ çalıştırma için bir kayıt defteri anahtarı aracılığıyla, davranışsal kontrol için –cm gibi bağımsız değişkenlerle çalışır.
Başlangıçta benign gibi görünen yazılım, ilk olarak 15 Mayıs 2025’in başlarında Virustotal gönderimlerinde not edilen bir .js dosyası aracılığıyla güncellemeler için anket yapmak için mekanizmalar içeriyordu.
Bununla birlikte, 21 Ağustos 2025’ten itibaren, enfekte olmuş sistemler, –cm = –fullupdate ile pdfeditorupdater için yeni bir kayıt defteri girişi ekleyerek, kurutopedchef infostealer’ı etkinleştiren komutlar aldı.
Bu, /ReSources/app/w-electon/bun/Releases/pdfeditor.js içine gizlenmiş bir yük yükler, –install, –enableupdate, –Disableupdate, –Fullupdate, –Partialupdate, –Backupdate, –Check ,-Po ve
Etkinleştirildikten sonra, kurutperedchef, hassas veriler için tarayıcı veritabanlarını sorgulamak için DPAPI kullanır, güvenlik ürünleri için taramalar ve giriş kimlik bilgileri gibi kilitli bilgilere erişmek için tarayıcı işlemlerini sonlandırır.
Kampanya, trafik en az beş kampanya kimliği ve yönlendiricileri ortaya koyarak geniş bir erişim gösteren Google reklamlarını tanıtım için kullanıyor.
Kötü niyetli aktivasyonun tipik 60 günlük reklamla yakından hizalanmasından 56 gün önce, tehdit aktörleri aracı silahlandırmadan önce indirmeleri en üst düzeye çıkardı.
Varyantlardaki dijital imzalar, Echo Infini Sdn Bhd, Glint tarafından J Sdn gibi kuruluşlara verilen şüpheli sertifikalardan geliyor.

BHD ve Summit Nexus Holdings LLC, BHD, Echo Infini’nin web sitesi genel olarak AI tarafından üretilen ve diğer şüpheli firmalarla adres paylaşıyor.
Daha fazla bağ, sertifikaları Epibrowser gibi ilgisiz kötü amaçlı yazılım imzalayan bayt medyaya bağlar.
Tehdit Oyuncu Tarihi
Soruşturmalar, aktörün faaliyetlerini, kurcperedchef ile aynı C2 alanlarıyla temasa geçiren kötü amaçlı kodla birlikte, Onestart ve Epibrowser tarayıcılar gibi potansiyel olarak istenmeyen programları (PUP’lar) içeren en az Ağustos 2024’e kadar takip ediyor.
OneTart örnekleri benzer davranışlar sergiler, bu da kötü amaçlı yazılımları kamu işleri aracı olarak gizleme modeli önerir.
Bazı kurulumlarda, Johannes tarafından açık kaynaklı koddan yeniden derlenen ve Echo Infini tarafından imzalanan bir Elevate.exe ikili, PDF editörünün yanında, potansiyel olarak gelecekteki ayrıcalık artış için görünür, ancak herhangi bir infaz gözlenmemiştir.
Bu tırmanış, aktörün gelişen taktiklerini vurgular ve çalışan indirmeleri yoluyla Avrupa’daki organizasyonları etkilemektedir.
Rapora göre, Truesec bilinmeyen kaynaklardan gelen veteriner yazılımlarını vurgular, çünkü benign araçlar hızla kötü niyetli olabilir. Google, benzer tehditler için yerel sertifikalara ve şirkete bildirimler çağırarak raporlara yardımcı bir şekilde yanıt verdi.
Kampanya, reklam güdümlü yazılım dağıtımındaki risklerin altını çiziyor ve devam eden varyantlar karma listeleri kapsamsız.
Uzlaşma Göstergeleri (IOC)
Kategori | Örnekler |
---|---|
Hosting alan adları | apdft.net, mypdfonestart.com, ltdpdf.com, pdfreplace.com, appsuites.ai |
C2 Alanları | y2iax5.com, abf26u.com, mka3e8.com, 5b7crp.com |
SHA256 Hashes | DA3C6EC20A006EC4B289A90488F824F0F72098A2F5C2D3F37D7A2D4A83B344A0 (PDF editörü), 189B0BA8C61740D5AD1C80264971895A86F5B7A8C8E795DC2E990909A9AB88A (Elevate), ABBB3E96B910C9D1E2074DC05FD51E78984941F03BCB7D443714838849A7A928 (PDF editörü), 2E4DE114AD10967F1807F317F476290DC0045BDFA939553D1B443EF9F905018 (Epibrowser) |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!