Çin, Hong Kong ve Pakistan’da Siber Casusluk Tehditleri
Siber güvenlik dünya genelinde önemli bir konu haline gelmiştir. Siber casusluk faaliyetleri, devletler ve özel sektördeki kuruluşlar için ciddi tehditler oluşturmaktadır. Son dönemde, Çin, Hong Kong ve Pakistan gibi bölgelerde UNG0002 (veya Bilinmeyen Grup 0002) adı verilen bir tehdit aktivitelerinin tespit edildiği bildirilmektedir. Bu grup, daha geniş kapsamlı bir siber casusluk kampanyası çerçevesinde faaliyet göstermektedir.
UNG0002’nin İşleyişi ve Taktikleri
Seqrite Labs araştırmacısı Subhajeet Singha, bu tehdit grubunun özel olarak kısayol dosyaları (LNK), VBScript ve Cobalt Strike ile Metasploit gibi post-exploitation araçlarını kullandığını belirtmektedir. Bu grup, kurbanları avlamak için sürekli olarak CV temalı tuzak belgeleri kullanmaktadır.
Bu grup, iki ana kampanya yürütmüştür: Operasyon Cobalt Whisper ve Operasyon AmberMist. İlk operasyon, 2024 Mayıs ile Eylül ayları arasında gerçekleştirilirken, AmberMist atacı ise 2025 Ocak ile Mayıs ayları arasında gerçekleşmiştir. Bu kampanyaların hedefledikleri sektörler arasında savunma, elektroteknik mühendislik, enerji, sivil havacılık, akademi, sağlık kurumları, siber güvenlik, oyun ve yazılım geliştirme gibi önemli alanlar bulunmaktadır.
Operasyon Cobalt Whisper
Seqrite Labs, Cobalt Whisper operasyonunu ilk defa Ekim 2024’te belgeledi. Operasyon, spear-phishing saldırıları aracılığıyla dağıtılan ZIP arşivleri kullanarak Cobalt Strike beacon’ları göndermektedir. Bu süreçte, kısayol ve Visual Basic Scriptler geçici yükleme dosyası olarak kullanılmaktadır.
Şirket, bu kampanyanın kapsamı ve karmaşıklığının, hedeflenmiş bir APT grubunun hassas araştırma ve fikri mülkiyeti ele geçirme çabasını güçlü bir şekilde ortaya koyduğunu vurgulamaktadır. Risk altında olan sektörlerin, stratejik öneme sahip olması, bu tür saldırıların neden bu kadar kritik olduğunu anlamamıza yardımcı olmaktadır.
Operasyon AmberMist ve Saldırı Zincirleri
AmberMist saldırı zincirleri, spear-phishing e-postalarını başlangıç noktası olarak kullanmakta, LNK dosyalarını özgeçmiş ve CV gibi görünen belgelerle birleştirerek çok aşamalı bir enfeksiyon süreci başlatmaktadır. Bu süreç sonunda, INET RAT ve Blister DLL yükleyici devreye girmektedir.
2025 Ocak ayında tespit edilen alternatif saldırı dizileri, e-posta alıcılarını, Pakistan Ulaştırma Bakanlığı web sitesini taklit eden sahte açılış sayfalarına yönlendirmekte ve burada sahte CAPTCHA doğrulama kontrolleri sunarak ClickFix taktiklerini kullanmaktadır. Bu taktikler, PowerShell komutları çalıştırmak için kullanılmakta ve Shadow RAT’ın devreye girmesini sağlamaktadır.
Shadow RAT ve INET RAT
Shadow RAT, DLL yan yükleme yoluyla başlatılır ve komut almak üzere uzaktaki bir sunucu ile iletişim kurabilmektedir. INET RAT, Shadow RAT’ın değiştirilmiş bir versiyonu olarak değerlendirilmektedir. Diğer yandan, Blister DLL implantı, bir shellcode yükleyici olarak işlev görmekte ve nihayetinde tersine bağlantı tabanlı bir implant için yol açmaktadır.
Tehdit aktörünün kesin kökenleri belirsizliğini korumakta, ancak açıklanan deliller, Güneydoğu Asya merkezli bir siber casusluk grubunu işaret etmektedir. Singha, UNG0002’nin, Mayıs 2024’ten beri Asya’nın farklı bölgelerini hedef alan sofistike ve sürekli bir tehdit olduğunu vurgulamaktadır. Grup, sürekli olarak araç setini geliştirmekte ve taktik, teknik ve prosedürlerini koruyarak yüksek bir adaptasyon yeteneği göstermektedir.
Siber Güvenlikte Alınacak Önlemler
Bu tür saldırılara karşı koruma sağlamak için, şirketlerin ve devlet kurumlarının sürekli olarak siber güvenlik stratejilerini gözden geçirmeleri gerekmektedir. Gelişmiş koruma sistemleri, çalışanlara yönelik siber güvenlik eğitimleri ve acil durum planlarının uygulanması gibi önlemler bu konuda kritik öneme sahiptir. Ayrıca, veri şifreleme tekniklerinin kullanılması ve güvenli iletişim kanallarının oluşturulması da ihlalleri en aza indirmek için önemlidir.
Sonuç olarak, siber güvenlik alanındaki gelişmeler, tehditlerin nasıl değiştiğini ve ne kadar sofistike hale geldiğini göstermektedir. UNG0002 gibi grupların faaliyetleri, hem devlet kurumları hem de özel sektör için önemli tehditler oluşturmaktadır. Bu nedenle, sürekli olarak gelişen siber tehditlere karşı hazırlıklı olmak hayati önem taşımaktadır.
