Çin Kaynaklı Siber Tehditler ve Spear Phishing Kampanyaları
Son yıllarda, siber casusluk faaliyetleri, özellikle devlet destekli gruplar tarafından artan bir şekilde yürütülmektedir. Özellikle Çin ile ilgili tehdit aktörleri, hedeflerine ulaşmak için çeşitli yöntemler kullanmaktadır. Bu bağlamda, TA415 olarak bilinen bir tehdit aktörünün, ABD hükümeti, düşünce kuruluşları ve akademik kuruluşlar gibi hedef gruplara yönelen spear phishing kampanyalarına dair yeni bir analiz ortaya çıkmıştır.
Spear Phishing’in Gerçekleri
Spear phishing, hedeflenmiş bir dolandırıcılık türüdür ve genellikle belirli bireyleri ya da organizasyonları hedef alarak gerçekleştirilir. Bu tür siber saldırılarda genellikle, kurbanın güvenini kazanmak için sahte mesajlar ve e-postalar kullanılmaktadır. TA415 grubunun, ABD ile Çin arasındaki ekonomik ilişkilerle ilgili cazibeleri kullanarak yürüttüğü kampanyaların çok dikkat çekici özellikleri bulunmaktadır.
Bu grupta yer alan siber aktörler, ABD ile Çin Komünist Partisi arasındaki stratejik rekabet komitesinin mevcut başkanı gibi davranarak belirli grupları hedef almıştır. Bu durum, siber saldırıların sadece teknik bir mesele değil, aynı zamanda politik bir mücadele aracı olduğunun da bir göstergesidir.
Yapılan Analizler ve Belirtiler
Proofpoint, 2025 yılı Temmuz ve Ağustos aylarında gözlemlenen bu faaliyetlerin, Çin devlet destekli tehdit aktörlerinin, ABD – Çin ticaret müzakereleri sırasında istihbarat toplama çabası olduğuna dikkat çekmektedir. Bu bağlamda, ilgili grupların daha önceki siber saldırı kümeleriyle de ilişkili olduğu belirtilmektedir. APT41 ve Brass Typhoon (eski adıyla Barium) adı altında bilinen bu grupların, benzer tehditleri barındırdığı tespit edilmiştir.
U.S. House Select Committee on China, yakın zamanda bu tür cyber espionage (siber casusluk) kampanyalarının devam ettiğine dair bir uyarı yayımlamıştır. Bu uyarıda, Republican Parti’nin Kongre üyesi John Robert Moolenaar’ın benzeri kampanyalarda taklit edildiği ve bu kapsamda veri hırsızlığına yönelik zararlı yazılımlar gönderildiği dile getirilmiştir.
Kampanya İçerik ve Yöntemleri
TA415 grubunun kampanyası, özellikle uluslararası ticaret, ekonomik politika ve ABD-Çin ilişkileri üzerine uzmanlaşmış bireyleri hedef almıştır. Gönderilen e-postalarda, sahte U.S.-China Business Council e-posta adresi kullanılarak, alıcılara kapalı kapılar ardında gerçekleşecek bir brifing daveti yapılmıştır.
Bu kampanyada kullanılan e-postaların içeriği, dikkatlice hazırlanmıştır. E-postalar, “uschina@zohomail[.]com” adresinden gönderilmiş ve Cloudflare WARP VPN hizmeti kullanılarak faaliyetlerin kaynağının gizlenmesi sağlanmıştır. E-postalarda, şifre korumalı arşivlere bağlantılar verilmiştir. Bu arşivlerde ise gizli bir klasörde, bir Windows kısayolu (LNK) ve diğer dosyalar bulunmaktadır.
Saldırının Teknik Aşamaları
LNK dosyasının temel işlevi, gizli klasörde bir toplu iş betiği çalıştırmak ve kullanıcıya bir PDF belgesi göstermek olarak tanımlanmaktadır. Arka planda, bu toplu iş betiği, WhirlCoil adında obfuscate edilmiş bir Python yükleyicisini çalıştırmaktadır. Bu yükleyici, daha önce benzer saldırılarda farklı kaynaklardan indirilen bir yüleyici olmuştur.
Toplu iş betiği, genellikle “GoogleUpdate” veya “MicrosoftHealthcareMonitorNode” olarak adlandırılan bir zamanlanmış görev oluşturmakta ve bu görevi her iki saatte bir çalıştırarak kalıcılık sağlamaktadır. Admin yetkilerine sahip bir kullanıcının bilgisayarında, bu görev SYSTEM ayrıcalıkları ile çalışmaktadır.
Daha sonra, Python yükleyicisi, Visual Studio Code üzerinden uzaktan bir tünel oluşturarak hedef sisteme kalıcı arka kapı erişimi sağlamaktadır. Ayrıca, sistem bilgilerini ve kullanıcı dizinlerini toplayarak, veriler ve uzaktan güvenlik kodu, bir isteği günlükleyen hizmete gönderilmektedir. Böylece tehdit aktörü, hedef bilgisayarı kontrol edebilmekte ve orada arzu ettiği komutları çalıştırabilmektedir.
Sonuç ve Değerlendirmeler
Sonuç olarak, TA415 gibi tehdit grupları, siber güvenlik alanında büyük bir tehdit oluşturmaktadır. Bu tür aktivitelerin sürekli artması, yalnızca hedef bireyler için değil, aynı zamanda tüm uluslar için ciddi tehlikeler arz etmektedir. Siber güvenlik bilincinin artırılması ve bu tür saldırılara karşı direnç geliştirilmesi büyük önem taşımaktadır.
