Çin merkezli Siber Tehdit Aktörleri ve SAP NetWeaver Saldırıları
Son dönemlerde Çin bağlantılı siber tehdit aktörlerinin, SAP NetWeaver‘da bulunan kritik bir güvenlik açığını aktif bir şekilde kullandığı tespit edilmiştir. Bu saldırılar, 2023 yılından itibaren Brezilya, Hindistan ve Güneydoğu Asya’daki organizasyonları hedef almayı amaçlayan daha geniş bir saldırı setinin parçasını oluşturmaktadır. Trend Micro güvenlik araştırmacısı Joseph C Chen’in yaptığı analiz, bu tehdit aktörlerinin öncelikle web uygulamalarında tespit edilen SQL enjeksiyonu zafiyetlerini kullanarak, hedef organizasyonların SQL sunucularına erişim sağladığını göstermektedir.
Hedef Ülkeler ve Sektörler
Tehdit aktörlerinin diğer önemli hedefleri arasında Endonezya, Malezya, Filipinler, Tayland ve Vietnam yer almaktadır. Earth Lamia ismiyle takip edilen bu faaliyetler, Elastic Security Labs tarafından belgelenen REF0657, Sophos tarafından STAC6451 ve Palo Alto Networks Unit 42 tarafından CL-STA-0048 olarak adlandırılan tehdit kümeleri ile bazı örtüşmeler göstermektedir.
Bu saldırılar, genellikle internet üzerinden erişilebilir Microsoft SQL Sunucuları ve diğer sistemleri hedef alarak, ön keşif yürütmekte ve post-exploitatif araçlar kullanarak, Cobalt Strike ve Supershell gibi araçlarla saldırılarını derinleştirmektedir. Ayrıca, hedef ağlara açılan proxy tünelleri oluşturmak amacıyla Rakshasa ve Stowaway gibi araçlar kullanılmaktadır.
Kullanılan Araçlar ve Yöntemler
Tehdit aktörleri, privilege escalation araçları olan GodPotato ve JuicyPotato’yu; ağ tarama araçları olan Fscan ve Kscan’ı da kullanmaktadır. Ayrıca, wevtutil.exe gibi meşru programlar kullanarak, Windows Uygulama, Sistem ve Güvenlik olay günlüklerini temizleme işlemlerini gerçekleştirmektedir.
Hindistan’daki bazı saldırılar, Mimic fidye yazılımı dosyalarının dağıtımını hedeflemiş olsa da, bu çabaların büyük ölçüde başarısız olduğu belirtilmiştir. Sophos’un Ağustos 2024’te yayımladığı bir analizde, aktörlerin birçok durumda dağıtılan kötü amaçlı yazılımları silmeye çalıştıkları kaydedilmiştir.
Yeni Zafiyetler ve Gelişmeler
Geçtiğimiz ay, EclecticIQ tarafından açıklanan verilere göre, CL-STA-0048 yine Çin kaynaklı siber casusluk grupları arasında yer alarak, CVE-2025-31324 zafiyetini kullanarak, SAP NetWeaver’da öncelikle geri dönüş shell’i oluşturmak amacıyla saldırı gerçekleştirmiştir.
Sadece CVE-2025-31324 değil, bu siber tehdit ekibi aynı zamanda çeşitli public-facing sunucuları ihlal etmek için en az sekiz farklı zafiyeti silahlandırmıştır. Trend Micro, bu tehdit aktörünün faaliyetlerini "son derece aktif" olarak nitelendirirken, başlangıçta finansal hizmetlerden, lojistik ve çevrimiçi perakende sektörlerine, daha sonra ise IT şirketleri, üniversiteler ve hükümet organizasyonları gibi hedeflere kaydığını belirtmektedir.
Saldırı Stratejisi ve Taktikler
Earth Lamia grubu, PULSEPACK gibi özel arka kapıları DLL yan yükleme yöntemi ile başlatma gibi stratejiler geliştirmiştir. Bu yaklaşım, Çinli hacker grupları tarafından yaygın olarak benimsenmektedir. PULSEPACK, uzaktan sunucularla iletişim kurarak çeşitli eklentiler yükleyen modüler bir .NET tabanlı yazılımdır.
Trend Micro, Mart 2025’te bu arka kapının güncellenmiş bir versiyonunun TCP yerine WebSocket iletişim yöntemini kullandığını belirtilmiş, bu durum kötü amaçlı yazılımın aktif olarak geliştirildiğinin göstergesi olarak değerlendirilmiştir.
Sonuç olarak, Earth Lamia, niyetleri açısından agresif bir tutum sergileyerek, birden fazla ülke ve sektör üzerinde operasyonlar yürütmektedir. Aynı zamanda, özelleştirilmiş hacking araçları ve yeni arka kapılar geliştirme konusunda sürekli olarak taktiklerini daha da rafine etmektedir. Bu durum, siber güvenlik alanında önemli tehditler oluşturmakta ve ilgili sektörleri sürekli tehdit altında bırakmaktadır.
