Çin’e Bağlı Tehdit Aktörleri Yeni Siber Casusluk Faaliyetleri Yürütüyor
2025 yılında, Çin’e bağlı siber tehdit aktörleri, Güneydoğu Asya’daki hükümet ve kolluk kuvvetleri hedeflerine yönelik bir dizi siber casusluk kampanyası başlatmıştır. Bu olay, yüksek derecedeki siber tehditler ve ulusal güvenlik açısından taşıdığı önem nedeniyle dikkat çekmektedir.
Saldırı Nasıl Çalışıyor?
Check Point Research, bu daha önce belgelenmemiş faaliyet kümesini Amaranth-Dragon ismiyle takip etmektedir. APT 41 ekosistemi ile bağlantılı olduğu düşünülen bu aktiviteler, Kamboçya, Tayland, Laos, Endonezya, Singapur ve Filipinler gibi hedef ülkelerde gerçekleşmektedir.
Saldırıların büyük çoğunluğu, yerel siyasi gelişmeler veya resmi hükümet kararları ile zamanlanarak gerçekleştirilmiştir. Bu bağlamda, saldırganlar hedeflerin içeriği daha kolay benimsemesini sağlamak amacıyla tanıdık bağlamlar kullanmaktadır. Böylece, kampanyaların etkinliği artmaktadır.
Saldırıların en dikkat çekici yönlerinden biri, yüksek gizlilik seviyesidir. Saldırılar “narrowly focused” yani dar bir çerçevede gerçekleştirilmakta ve altyapıları, yalnızca belirli ülkelerdeki kurbanlarla etkileşimde bulunacak şekilde yapılandırılmaktadır.
Etkilenen Sistemler
Saldırı zincirlerinde, CVE-2025-8088 kodlu ve RARLAB WinRAR üzerinde etkili olan bir güvenlik açığı, saldırganlar tarafından istismar edilmiştir. Bu açık, özel olarak hazırlanmış arşivler açıldığında rastgele kod yürütülmesine olanak tanımaktadır. Açığın 2025 yılının Ağustos ayında kamuya açıklanmasından yaklaşık sekiz gün sonra bu açık üzerinden saldırıların gerçekleştirildiği tespit edilmiştir.
Saldırganlar, kötü amaçlı bir RAR dosyası yayarak CVE-2025-8088 açığını istismar etmekte ve bu sayede uzaktan erişim sağlayan kötü niyetli yazılımlar yüklemektedir. Check Point araştırmacıları, bu açığın hızlı bir şekilde operasyonel hale getirilmesinin, grubun teknik olgunluğunu ve hazırlığını gösterdiğini belirtmektedir.
Ayrıca, bu kötü amaçlı yükleme sürecinde, Amaranth Loader adlı bir DLL dosyası kullanılmakta ve DLL yan yükleme yöntemiyle çalıştırılmaktadır. Bu yükleyici, önce bir dış sunucuya bağlanarak bir şifreleme anahtarı almakta ve ardından şifrelenmiş bir yükü çözerek bellek üzerinde direkt olarak yürütmektedir.
Çözüm ve Korunma
Kullanıcılara önerilen koruma yöntemleri şunlardır:
- Tüm yazılımlarınızı düzenli olarak güncelleyin; özellikle CVE-2025-8088 açığını kapatacak yamanın uygulanmasını sağlayın.
- Güvenlik duvarlarını etkinleştirin ve gereksiz portları kapatın.
- Dolandırıcılık amaçlı e-postaları tanımak için dikkatli olun; tanımadığınız kaynaklardan gelen arşiv dosyalarını açmayın.
- Güvenilir güvenlik yazılımları kullanarak sisteminizi tarayın.
Bu tür dikkatli önlemlerle, siber saldırıların etkilerini minimize edebilir ve veri güvenliğinizi artırabilirsiniz.
CVE-2025-8088 açığından faydalanan saldırılar, siber güvenlik durumu hakkında düşündürücü bir örnek teşkil etmektedir. Güvenlik açıklarına karşı duyarlı olmak, siber tehditlere karşı mücadelede hayati önem taşımaktadır.
