Çin İlişkili Siber Tehdit: UnsolicitedBooker
Siber güvenlik alanında yaşanan gelişmeler, kötü niyetli grupların taktiklerinin nasıl evrildiğini gözler önüne seriyor. Son dönemlerde, Çin ile bağlantılı bir tehdit aktörü olarak tanımlanan UnsolicitedBooker, özellikle Suudi Arabistan’daki uluslararası bir kuruluşu hedef almış durumda. Bu grup, kullanımda olmayan bir arka kapı MarsSnake ile dikkat çekiyor. ESET güvenlik firması, bu siber saldırıların detaylarını kamuoyuyla paylaştı.
Hedeflenen Saldırılar ve Girişim Taktikleri
ESET, UnsolicitedBooker grubunun siber saldırılarını ilk olarak Mart 2023‘te tespit ettiğini ve bir yıl içinde tekrar aynı hedefe saldırıya geçtiğini belirtmektedir. Bu grup, spear-phishing e-postaları aracılığıyla, özellikle uçuş biletleri gibi kurgusal içerikler kullanarak hedeflerine ulaşmayı başardı. "UnsolicitedBooker, genellikle bir uçuş bileti ile aldatmaca içeren e-postalar gönderiyor ve hedefleri arasında Asya, Afrika ve Orta Doğu’daki hükümet kuruluşları bulunuyor," diyor ESET.
Bu tür saldırılarda, Çinli hacking ekipleri tarafından sıkça kullanılan backdoor’lar olan Chinoxy, DeedRAT, Poison Ivy ve BeRAT gibi araçlar da tercih ediliyor. Analistler, UnsolicitedBooker’ın, Space Pirates olarak adlandırılan bir küme ile benzerlikler taşıdığı ve Suudi Arabistan’daki bir İslami hayır kurumuna yönelik Zardoor adında bir backdoor kullanan başka bir tehdit grubu ile ilişkilendirildiğini ifade ediyor.
Phishing Saldırıları ve Arka Kapı Kullanımı
ESET, Ocak 2025’te gözlemlenen son kampanyada, Suudi Arabistan’daki aynı kuruluşa yönelik bir phishing e-postası gönderildiğini belirtiyor. Bu e-posta, Saudia Airlines’tan geliyormuş gibi görünüyordu ve bir uçuş rezervasyonu hakkında bilgi içeriyordu. "E-posta ile ilişkilendirilen bir Microsoft Word belgesi, modifiye edilmiş bir uçuş biletini içeriyor; bu belgede kullanılan içerik, aslında Academia adındaki bir platformda erişilebilen bir PDF dosyasından türetilmiş," dedi ESET.
Bu Word belgesi açıldığında, VBA makrosu çalıştırarak dosya sistemine bir yürütülebilir dosya ("smssdrvhost.exe") yerleştiriyor. Bu dosya, MarsSnake arka kapısını yüklemek için bir loader görevi görüyor ve uzaktaki bir sunucuya bağlantı kuruyor. "2023, 2024 ve 2025 yıllarında bu kurumu ele geçirme çabalarındaki sık tekrar, UnsolicitedBooker’ın bu belirli hedefe yönelik yoğun bir ilgi gösterdiğini ortaya koyuyor," diye ekliyor ESET.
Diğer Tehdit Aktörleri ve Gelişmeler
Bu açıkladıkların yanı sıra, başka bir Çinli tehdit aktörü olan PerplexedGoblin (APT31 olarak da bilinir), Aralık 2024’te Orta Avrupa’daki bir hükümet kuruluşunu hedef alarak NanoSlate adında bir istihbarat arka kapısı dağıtmayı başardı. Bu tür eylemler, dünya genelinde siber güvenlik tedbirlerinin artırılmasına yönelik bir çağrıyı da beraberinde getiriyor.
ESET ayrıca, DigitalRecyclers adlı grubun Avrupa Birliği hükümet kuruluşlarına yönelik devam eden saldırılarını da tespit etti. Bu grup, KMA VPN operasyonel iletişim ağı kullanarak ağ trafiğini gizliyor ve RClient, HydroRShell ve GiftBox gibi backdoor’lar kullanıyor. DigitalRecyclers’ın ilk kez 2021’de tespit edilmiş olsa da, 2018 itibarıyla aktif olduğu düşünülüyor. Analistler, bu grubun Ke3chang ve BackdoorDiplomacy ile ilişkili olabileceğini belirtiyor.
Sonuç ve Gelecek Öngörüleri
Siber tehditlerin sürekli evrim geçirdiği günümüzde, özellikle devlet destekli aktörlerin kullandığı yöntemler daha da sofistike hale geliyor. UnsolicitedBooker’ın Suudi Arabistan’daki hedeflerine yönelik ilgisi, siber istihbaratın yalnızca bir ülkenin güvenliği için değil, global istikrar için de önemli olduğunu ortaya koyuyor. ESET gibi güvenlik firmalarının bu tür tehditlere karşı farkındalık yaratması, organizasyonların siber savunma stratejilerini güçlendirmelerine yardımcı olabilmektedir. Gelecek dönemlerde, siber savaşın dinamikleri hakkında daha fazla bilgi sahibi olmak hayati bir öneme sahip olacak. Hem bireyler hem de kuruluşlar için siber güvenlik, her zamankinden daha fazla dikkate alınması gereken bir konu olarak önümüzde duruyor.
