Tsundere Botnet: Windows Kullanıcılarını Hedef Alan Yeni Bir Tehdit
2025 yılının ortasından bu yana aktif olan Tsundere botnet’i, Windows kullanıcılarını hedef alan bir tehdit olarak kendini göstermektedir. Kaspersky araştırmacıları, bu botnet’in, komut ve kontrol (C2) sunucusundan alınan rastgele JavaScript kodunu çalıştırmak üzere tasarlandığını bildirdi.
Bulaşma Yöntemleri
Şu an için botnet malware’inin nasıl yayıldığına dair net bilgiler yok; ancak, bazı durumlarda saldırganların meşru bir uzak izleme ve yönetim (RMM) aracını kullanarak, kötü amaçlı bir site üzerinden MSI yükleyicisi indirdiği rapor edilmiştir. Botnet’in dağıtımı sırasında kullanılan kötü amaçlı yazılım parçalarının isimleri, oyunlarla ilişkilendirildiği için dağıtımın, kullanıcıları sahte oyun sürümleri ararken hedef aldığı düşünülmektedir.
Yükleme Süreci
Sahte MSI yükleyici, Node.js kurulu yaparak, ana botnet’e ait yükü deşifre ve yürütmekle görevli bir yükleyici betiği başlatır. Ayrıca, npm install komutunu kullanarak ws, ethers ve pm2 gibi meşru kütüphaneleri indirir. Bu işlemler, Tsundere botnet’inin sürekli aktif olmasını ve sistemde kalıcılık sağlamasını amaçlamaktadır.
Eşsiz Tasarım ve Dağıtım Mekanizması
Tsundere botnet’i, Ethereum blok zincirini kullanarak, WebSocket C2 sunucusunun ayrıntılarına ulaşmaktadır. Bu durum, saldırganların altyapıyı döndürme yeteneğini artırmakta ve bu da daha sağlam bir mekanizma oluşturmaktadır. 2024 yılında oluşturulan akıllı sözleşme ile güncellenmiş bilgiler ve yeni iletişim adresleri elde edilebilmektedir.
Gözlemlenen Davranışlar
C2 adresi alındıktan sonra, geçerli bir WebSocket URL’si olup olmadığını kontrol eder ve ardından sunucudan gönderilen JavaScript kodunu almak için bağlantı kurar. Kaspersky, gözlem dönemi sırasında sunucudan gelen takip komutları gözlemlenmediğini belirtmiştir. Botun, saldırganları için birçok farklı eylem gerçekleştirme esnekliği sağlaması, Tsundere’yi daha tehlikeli hale getirmektedir.
Operasyon Kontrol Paneli
Botnet’in operasyonları, kullanıcının yeni nesne türleri oluşturmasını, yönetim işlevlerini yerine getirmesini, bot sayısını izlemesini ve kötü niyetli trafiği yönlendirmek için proxy olarak kullanmasını sağlayan bir kontrol paneli ile desteklenmektedir. Bu durumda, botnet satın alma işlemleri için özel bir pazar alanı mevcut.
Tehdit Aktörleri ve Araştırmalar
Tsundere’nin arkasındaki kişilerin kim olduğu henüz bilinmemektedir, ancak yazılım kaynak kodundaki Rusça dil kullanımı, bazı tehdit aktörlerinin Rusça konuştuğunu göstermektedir. 2024 yılında belgelenmiş bir kötü amaçlı npm kampanyası ile benzer işlevler paylaşıyor olması, bu örgütlenmenin arka planında daha karmaşık bir yapılanma olabileceğini gösteriyor.
Önlem Alınması Gerekenler
Tsundere botnet’in bulaşma yöntemleri ve teknikleri, kullanıcıları dikkatli olmaları gereken alanlara yönlendirmektedir. MSI ve PowerShell dosyaları aracılığıyla enfeksiyonlar gerçekleşmekte ve bu durum, yükleyici dosyaların yanı sıra farklı saldırı mekanizmaları ile entegre olarak büyük bir tehdit oluşturmaktadır. Kullanıcılar, bilinmeyen kaynaklardan yazılım yüklememeli, bu tür dosyalara karşı dikkatli olmalıdır.
