Mustang Panda ve TONESHELL Geliştirmesi
Çin merkezli siber suç grubu Mustang Panda, daha önce belgelenmemiş bir kernel-modu rootkit sürücüsü kullanarak TONESHELL adında yeni bir arka kapı yazılımı geliştirmiştir. Bu gelişme, 2025 yılı ortasında Asya’da hedef alınan belirsiz bir varlığa karşı gerçekleştirilen bir siber saldırıda tespit edilmiştir. Kaspersky’nin raporları, Mustang Panda’nın özellikle güneydoğu ve doğu Asya’daki hükümet kuruluşlarını hedef aldığını göstermektedir.
Rootkit’in Özellikleri
Mustang Panda’nın kullandığı kök takibi, “ProjectConfiguration.sys” dosyası olarak bilinen bir sürücü dosyasıdır. Bu dosya, Guongzhou Kingteller Technology Co., Ltd. adlı Çinli bir şirketten alınan eski ve çalınmış bir dijital sertifika ile imzalanmıştır. Kaspersky’ye göre, bu sürücü bilgisayar sistemlerinde bir minifilter sürücüsü olarak kaydedilir. Ana hedefi, sistem süreçlerine bir arka kapı Trojan’ı enjekte etmek ve kötü amaçlı dosyalar, kullanıcı modu süreçleri ve kayıt defteri anahtarları için koruma sağlamaktır.
TONESHELL Arka Kapısı
Saldırının nihai yükü olarak dağıtılan TONESHELL, uzaktan kabuk ve yükleyici yetenekleri olan bir implanttır. TONESHELL, Mustang Panda’nın en az 2022’nin sonlarından beri kullandığı bir yazılım olarak bilinmektedir. 2025 senesinin Eylül ayında, TONESHELL ve “Yokai” adı verilen başka bir arka kapı için taşınabilir cihazları kullanan bir USB solucanı olan TONEDISK ile birlikte çalıştığı tespit edilmiştir.
Saldırıda Kullanılan Altyapı
TONESHELL için kullanılan komut ve kontrol (C2) altyapısı, Eylül 2024’te inşa edildiği bildirilse de, kampanyanın gerçek başlangıç tarihi Şubat 2025 olarak belirlenmiştir. Saldırının ilk erişim yolu kesin olarak bilinmemekle birlikte, kötü niyetli sürücünün, önceden ele geçirilmiş makinelerden dağıtıldığı tahmin edilmektedir.
Rootkit ve TONESHELL’in Faaliyetleri
Mustang Panda’nın kullandığı sürücünün, iki ayrı kullanıcı modu yükü oluşturacağı ve bunlardan birinin “svchost.exe” sürecini başlatıp, burada arka kapı kodunu enjekte edeceği gözlemlenmiştir. TONESHELL çalıştırıldığında, TCP üzerinden C2 sunucusuna (örneğin “avocadomechanism[.]com” ya da “potherbreference[.]com”) bağlanmakta ve komutları alarak çeşitli işlemler gerçekleştirebilmektedir.
- Gelen veri için geçici dosya oluşturma (0x1)
- Dosya indirme (0x2 / 0x3)
- İndirmeyi iptal etme (0x4)
- Pipe üzerinden uzaktan shell kurma (0x7)
- Operatör komutunu alma (0x8)
- Shell’i sonlandırma (0x9)
- Dosya yükleme (0xA / 0xB)
- Yüklemeyi iptal etme (0xC)
- Bağlantıyı kapatma (0xD)
Güvenlik Zafiyetleri ve Önlemler
Bu gelişmeler, TONESHELL’in ilk kez bir kernel-modu yükleyici aracılığıyla teslim edilmiş olmasının önemini vurgulamaktadır. Bu sayede, güvenlik araçlarından gizlenmesi ve etkinliğini koruması kolaylaşmıştır. Kaspersky, bellek analizinin bu yeni TONESHELL enfeksiyonlarını anlamada kritik bir araç olduğunu belirtiyor.
Mustang Panda’nın bu saldırıları, siber casusluğa olan sürekli talebin ve evrimin bir göstergesi olarak değerlendirilmektedir. Belirtilen yöntem ve araçlar, geliştiricilerin ardında yatan strateji ve sürekliliği koruma arzularını da göstermektedir.
Kısacası, Mustang Panda’nın TONESHELL arka kapısı, kök takibi ve kullanıcı modu bileşenleri ile siber saldırı dünyasında yeni bir dönemi temsil etmektedir. Güvenlik uzmanları bu tür tehditlere karşı sürekli olarak gelişen stratejiler geliştirmelidir.
