Giriş
Mustang Panda isimli Çin bağlantılı istihbarat grubu, Hindistan hükümeti ve hidroelektrik hedeflerine yönelik iki kampanya yürütmektedir. Bu saldırılar, yeni kötü amaçlı yazılımlar kullanarak ve meşru bir bulut hizmetini komut kanalı olarak dönüştürerek gerçekleştirilmektedir.
Saldırı Nasıl Çalışıyor?
Acronis Threat Research Unit, Hindistan hükümeti ağlarında aktif bir şekilde gerçekleşen tehditleri tespit etmiştir. Söz konusu kötü amaçlı yazılımlar, Hindistan’daki hükümet sektöründe sıkça kullanılan Zoho WorkDrive bulut depolama platformunu kullanarak komut iletmekte ve veri sızdırmaktadır. Bu yöntemle, şifreli trafik, ağ içindeki günlük bulut aktiviteleri gibi görünerek hedef ağdan veri çalmaktadır.
Etkilenen Sistemler
Aşağıdaki yeni araçlar tespit edilmiştir:
- SHARDLOADER: Meşru bir uygulama olan Solid PDF Creator üzerinden kötü amaçlı bir DLL yükleyen bir yükleyicidir ve iki farklı implantı dağıtır.
- MINIRECON: IBM X-Force tarafından belgelenmiş Toneshell arka kapısının yeniden yapılandırılmış bir varyantıdır; artık HTTPS üzerinden WebSocket bağlantısı kullanıyor.
- ZOHOMURK: Hardcoded Zoho OAuth kimlik bilgilerini içeren yeni bir bileşendir, bir saldırgan kontrolündeki WorkDrive hesabını kullanarak komutları okuyup çalınan verileri yazma işlevi görmektedir.
Her iki kampanyada da kötü amaçlı DLL’ler gizli işaretli ZIP arşivleriyle gönderilmektedir. Acronis, bu zararlı yazılımların sosyal mühendislik (spear-phishing) ile dağıtıldığını düşünmektedir. Hedefe uygun olarak tasarlanmış ikna edici temalar içermekte; bunlar arasında hidroelektrik iş birliği önerileri ve Hindistan ile Tayvan kurumları arasındaki bir mutabakat zaptı bulunmaktadır.
Çözüm ve Korunma
Acronis, bu saldırıların amacı olarak Hindistan’ın hidroelektrik planları ve Tayvan ile olan savunma ilişkileri hakkında istihbarat toplamak olduğunu belirtmektedir. Saldırılar ile ilişkili altyapı, Solid PDF Creator ve Toneshell arka kapısı ile tekrar eden kod parçaları içermektedir.
Aktif tehlike ile ilgili çok az güvenlik önlemi alınmıştır; hardcoded tokenlar ve açık metin kimlik bilgileri analistlerin tespitine yardımcı olmuştur. Saldırılar 12 Haziran ile 22 Haziran 2026 tarihleri arasında aktif olarak devam etmiştir.
Acronis, savunma için kötü amaçlı yazılımların teslimatına ve bulut hizmetlerinin kötüye kullanımına karşı dikkatli olunması gerektiğini vurgulamaktadır. İzleme ve avlanma ipuçları; Run anahtarları, “SolidPDFPcl2Bmp” adında bir programlama görevini, couldinstallup[.]com C2 alan adını ve tarayıcı dışı işlemlerde ortaya çıkan Zoho kullanıcı ajanlarını içermektedir.
Kamu ve enerji kuruluşlarının, özellikle Pekin ile ilgilenebilecek sınır ötesi anlaşmalarla bağlantılı olanların, jeopolitik cazibeleri izlemeleri ve imzalı ikili dosyalardan yan yükleme tespit etmeleri gerekmektedir. Ayrıca, herhangi bir bulut API’sine gerek olmadan erişim sağlayan son noktaları da dikkatle izlemelidir.
Sonuç olarak, tüm ilgili tarafların bu bilgileri dikkate alması ve zamanında güncellemeler yapması gerekmektedir. Ayrıca, gerekli olmadıkça kullanılan portların kapatılması ve sistem izleme prosedürlerinin gözden geçirilmesi önemlidir.
