Başlangıç
Son dönemde, Güneydoğu Asya’daki bir devlet kuruluşuna yönelik Çin ile bağlantılı üç ayrı tehdit faaliyet grubunun saldırıları, siber güvenlik alanında ciddi bir endişe kaynağı oluşturmuştur. Bu karmaşık ve iyi kaynaklanmış operasyonlar, birçok farklı kötü amaçlı yazılım ailesinin dağıtımına sebep olmuştur.
Saldırı Nasıl Çalışıyor?
Saldırılar, çeşitli kötü amaçlı yazılımları içermekte olup bu yazılımlar aşağıdaki gibidir:
- HIUPAN (aka USBFect, MISTCLOAK, veya U2DiskWatch)
- PUBLOAD
- EggStremeFuel (aka RawCookie)
- EggStremeLoader (aka Gorem RAT)
- MASOL RAT
- PoshRAT
- TrackBak Stealer
- Hypnosis Loader
- FluffyGh0st
Bu tehdit faaliyetlerinin aşağıdaki gruplara atfedildiği belirtilmiştir:
- Haziran – Ağustos 2025: Mustang Panda (aka Stately Taurus)
- Mart – Eylül 2025: CL-STA-1048, bu grup Earth Estries ve Crimson Palace olarak bilinen gruplarla örtüşmektedir.
- Nisan ve Ağustos 2025: CL-STA-1049, bu grup Unfading Sea Haze olarak belgelenmiş bir grup ile örtüşmektedir.
Palo Alto Networks Unit 42 araştırmacıları, bu faaliyetlerin “kalıcı erişim sağlama” amacıyla kamuya açık şekilde rapor edilen kampanyalarla örtüştüğünü ve bu grupların koordineli bir çaba içinde olabileceğini belirtmiştir.
Etkilenen Sistemler
Mustang Panda faaliyetleri, HIUPAN adlı bir USB tabanlı kötü amaçlı yazılım kullanarak PUBLOAD arka kapısını kurmak için bir DLL dosyası olan Claimloader’ı kullanmıştır. İlk olarak 2022 yılının sonlarında Filipinler’deki devlet kurumlarına yönelik saldırılarda kullanılan Claimloader’ın bazı kurban ağlarında ise COOLCLIENT gibi bir başka arka kapının da tespit edildiği bildirilmiştir.
Bu ağlarda tespit edilen bazı araçlar ve yetenekleri:
- EggStremeFuel: Dosya indirme/yükleme, dosya ve dizin listeleme, ters kabuk başlatma gibi işlemleri gerçekleştirebilen hafif bir arka kapıdır.
- EggStremeLoader: EggStreme malware framework’ünün bir parçasıdır ve 59 arka kapı komutunu desteklemektedir.
- MASOL RAT (aka Backdr-NQ): Dosya indirme/yükleme ve keylogger özelliklerine sahip bir uzaktan erişim trojanıdır.
- TrackBak: Log, panoya kopyalanan veriler, ağ bilgileri ve disklerdeki dosyaları toplayan bir bilgi hırsızıdır.
Çözüm ve Korunma
CL-STA-1049 ile ilişkili faaliyetler ise Hypnosis Loader adlı yeni bir DLL yükleyici kullanmaktadır. Bu yükleyici ile FluffyGh0st RAT yüklenmektedir. CL-STA-1048 ve CL-STA-1049’un tam erişim vektörleri henüz net değildir.
Araştırmalar, saldırganların amacı olarak “hassas devlet ağlarına uzun vadeli ve kalıcı erişim elde etme” hedeflerini ön plana çıkarmaktadır.
Aksiyon
Okuyuculara, özellikle devlet veya kritik altyapılara sahip kuruluşların, aşağıdaki önlemleri almasını öneriyoruz:
- Yazılımlarını güncelleyerek en son güvenlik yamalarını uygulayın.
- Gereksiz portları kapatın ve yalnızca kullanılması gereken portların açık olmasını sağlayın.
- Ağ izleme ve güvenlik duvarı kuralları üzerinde yeniden değerlendirme yapın.
- Kötü amaçlı yazılım tespit sistemlerini güncel tutun ve periyodik olarak sızma testleri gerçekleştirin.
Bu tür siber tehditlerle karşılaşmamak için, proaktif bir yaklaşım benimsemek büyük önem taşımaktadır.
