Ünlü Çin gelişmiş kalıcı tehdit (APT) grubu “MirrorFace”, bu tehdit grupları arasında yeni tercih edilen araç olan SoftEther VPN’i kullanarak Avrupa Birliği’nde diplomatik casusluk konusunda dikkate değer hamleler yaptı.
MirrorFace, 2022’deki çabalarıyla geniş bir üne kavuştu. Japonya seçimlerine müdahale etmekve o zamandan beri ülkede faaliyetlerini sürdürüyor. Ancak ESET’teki araştırmacılar, grubun yakın zamanda AB’de kimliği belirsiz bir diplomatik kuruluşa yönelik casusluk saldırılarıyla ortaya çıktığını fark etti.
Tehdit araştırması direktörü Jean-Ian Boutin, “İlk kez MirrorFace’in Çin, Kuzey Kore ve Rusya bağlantılı birçok tehdit aktörünün odak noktası olmayı sürdüren AB içindeki diplomatik bir kuruluşu hedef aldığını gözlemledik” dedi. ESET, bulgularla ilgili yaptığı açıklamada şunları söyledi. “Bu grupların çoğu özellikle devlet kurumlarına ve savunma sektörüne odaklanıyor.”
Pekin Destekli APT Grupları Arasında SoftEther VPN Kötüye Kullanımı Artıyor
ESET, operasyonlarını tamamen yeni bir kıtaya genişletmenin ötesinde MirrorFace’in giderek daha fazla güvenmeye başladığını söyledi. SoftEther VPN’i erişimi sürdürmek için, ancak tek grup bu değil. Diğer Çin destekli APT’ler — Keten Tayfunu, Galyumve Webworm — ayrıca şuraya geçti: açık kaynaklı, platformlar arası VPN yazılımı birçok siber suçlunun tercihi.
Şubat ayında Hydrochasma adında daha önce bilinmeyen bir düşman grubu keşfedildi SoftEther VPN’i siber casuslukta kötüye kullanmak Asya merkezli nakliye şirketlerine karşı kampanya. Nisan ayında Çince konuşan tehdit grubu ToddyCat keşfedildi Veri çalmak için SoftEther VPN kullanma Asya-Pasifik bölgesindeki hükümet ve savunma hedeflerinden “endüstriyel ölçekte”.
Araştırmacılar artık bu taktiklerin Avrupa’ya ulaştığı konusunda uyarıyor.
ESET’teki kıdemli kötü amaçlı yazılım araştırmacısı Mathiew Tartare, “Çin’e bağlı bazı APT grupları, çeşitli nedenlerden dolayı SoftEther VPN’e daha fazla güvenmeye yöneldi. SoftEther VPN, tespit edilmeyi önlemeye yardımcı olan meşru bir yazılımdır” diyor. “Güvenliği aşılmış ağ ile saldırganın altyapısı arasında bir HTTPS VPN tüneli ayarlamak, kötü amaçlı trafiği meşru HTTPS trafiğine kolayca karıştırmalarına olanak tanır.”
Tartare, SoftEther VPN’in saldırganların günlük uzak masa protokolü (RDP) araçlarını kullanarak ağa erişen yetkili bir uzak kullanıcı gibi görünmesine de olanak tanıdığını ekliyor.
“Algılamaları atlamak ve meşru trafiğe karışmak için SoftEther VPN ve diğer meşru VPN veya uzaktan erişim araçlarının kullanımında bir artış gözlemlemek bizi şaşırtmaz” diyor.
ESET’e göre, Çin destekli APT’ler siber suçlarla ilgili teknik bilgilerini Irak ve Azerbaycan’a karşı siber casusluk yapan İran destekli düşmanların yanı sıra Fransız diplomatlara da ödünç veriyor. Ayrıca İran, bilgisayar korsanlarını Afrika çapındaki finansal hizmet kuruluşlarına yetkisiz erişim sağlamaya çalışıyor.
Hem Çinli hem de Kuzey Koreli tehdit aktörleri ABD, Güney Kore ve Güneydoğu Asya’daki eğitim kurumlarına yönelik saldırıların yoğunluğunu artırdı. ESET raporu eklendi.