Haziran 2025’te, Doğu Asya’da toplanan telemetri verilerinde daha önce belgelenmemiş bir kampanya kullanma tarihi yazılımından yararlanmaya başladı. Dublajlı Dokunoperasyon, birden fazla kötü amaçlı yazılım ailesi sunmak için terk edilmiş bir Çin giriş yöntemi editöründen (IME) Sogou Zhuyin’den yararlanıyor.
İlk zeka, öncelikle geleneksel Çinli kullanıcılar ve muhalifler olan kurbanların, sistemleri tehlikeye girmeden önce meşru güncellemeler gibi görünen şeyleri indirdiklerini gösterdi.
Durdurulan bir IME güncelleme sunucusunun beklenmedik yeniden canlanması, tehdit aktörlerinin yazılım dağıtımını ele geçirmesini ve şüphe yaratmadan arka kapıları, casus araçları ve yükleyicileri gizlice yüklemelerini sağladı.
Trend mikro araştırmacıları, 2019’un ortalarından bu yana hareketsiz olan Sogou Zhuyin için gecikmiş alan adı Kasım 2024 gibi bir kötü niyetli kuruluma hizmet etmeye başladığında, kötü niyetli bir aktivitede bir artış belirlediler. ZhuyInup.exe, uzatılmış bir silahlandırılmış güncelleme yapılandırma bitişine bağlandığında, basılı tezahürü yerine getirir.
Enfekte sistemler daha sonra keşif, bilgi hırsızlığı, kalıcılık veya uzaktan erişim için tasarlanmış dört farklı kötü amaçlı yazılım ailesinden birini (toshis, desfy, gtelam veya c6door) indirin.
Birkaç ay boyunca, gazeteciler, teknoloji yöneticileri ve Tayvan, Hong Kong, Japonya ve denizaşırı Tayvanlı topluluklardaki aktivistler de dahil olmak üzere yüzlerce yüksek değerli birey bu sessiz müdahalelere kurban.
Trend mikro analistleri, kampanyanın sofistike olmasının sadece terk edilmiş bir yazılım tedarik zincirini kullanmada değil, aynı zamanda çok aşamalı enfeksiyon sürecinde de bulunduğunu belirtti.
Kaçırılan yazılım güncellemelerini mızrak aktı işlemleri ile birleştirerek, tehdit aktörleri geniş dağıtım ve seçici hedefleme elde etti. Kötü niyetli bir bağlantıyı tıklayan veya bir tuzak belgesi açan kurbanlar, masaüstlerini saatler içinde tehlikeye attılar.
Enfeksiyon sonrası telemetri, meşru bulut hizmetleri aracılığıyla dizin numaralandırma, çevre parmak izi ve güvenli tünel oluşturma gibi ek keşif faaliyetlerini ortaya çıkardı.
Bir temel keşifte, trend mikro araştırmacılar zhuyinup.exe’nin kötü amaçlı güncelleme yapılandırmasını nasıl aldığını belirledi:-
sub_440110(L"https://srv-pc.sogouzhuyin.com/v1/upgrade/version", config_buffer);
wcscpy_s(Destination, 100, L"SOGOU_UPDATER");
sub_419620(Destination, (int)this, flags);Bu snippet, güncelleyicinin bir sonraki yük için uzak bir sunucuyu nasıl sorguladığını gösterir.
.webp)
Dönen yapılandırma dosyası, saldırganın yalnızca hazırlanmış ikili dosyalarını doğrulamasını ve yürütmesini sağlayan URL’ler, MD5 karmalar ve dosya boyutları içerir.
Enfeksiyon mekanizması ve kalıcılık
Kötü niyetli güncelleyici başlatıldıktan sonra, seçilen yük – genellikle Toshis -, kabuk kodunu enjekte etmek için meşru bir yürütülebilir dosyanın giriş noktasını paylaşır.
Yükleyici, API işlevi karmalarını bir Adler-32 algoritması kullanarak hesaplar, ardından son arka kapı yükünü sert kodlanmış bir AES tuşuyla indirir ve şifresini çözer (qazxswedcvfrtgbn).
.webp)
C6Door durumunda, GO tabanlı arka kapı HTTP ve WebSocket iletişimini destekler ve operatörlerin shellcode yürütmesine, ekran görüntülerini yakalamasına ve dosyaları SFTP aracılığıyla aktarmasına izin verir.
Kalıcılığı korumak için, kötü amaçlı yazılım, yerel sistem hesabı altında “Sogo_updater” adlı bir hizmeti kaydederek, tehlikeye atılan IME’nin her sistemin başlamasında güncelleme rutinini yeniden desteklemesini sağlar.
Yerel Windows güncelleme mekanizmalarını kötüye kullanarak ve kendini güvenilir süreçlere gömerek, Taoth oldukça gizli kalır ve çoğu geleneksel uç nokta savunmasından kaçar.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.