Güney Kore’deki Casusluk Faaliyetleri
Son zamanlarda, Güney Kore‘deki yabancı elçilikleri hedef alan, devlet destekli bir casusluk kampanyası ön plana çıkmış durumda. Trellix araştırmacıları, bu kampanyanın Mart ayından beri devam ettiğini ve en az 19 hedefli oltalama saldırısı gerçekleştirdiğini bildiriyor. Bu saldırılar, genel olarak Kuzey Koreli Kimsuky (APT43) grubunun taktikleri ile benzerlik göstermektedir. Ancak, araştırmacılara göre, bazı işaretler de Çin merkezli operatörleri işaret ediyor.
Çok Aşamalı Saldırılar
Saldırılar, her biri farklı e-posta tuzakları barındıran üç aşamada gerçekleşti. İlk aşama, Mart ayında başlamış ve ilk olarak Orta Avrupa elçiliğini hedef almıştır. Mayıs ayında, saldırgan diplomatik hedeflere yönelmiş ve daha karmaşık tuzaklar kullanmaya başlamıştır.
Trellix araştırmacıları, “13 Mayıs 2025‘te, bir Batı Avrupa elçiliğine gönderilen e-posta, bir yüksek düzeyde AB delegasyonundan gelen ‘Siyasi Danışma Toplantısı’ konusunu içeriyordu” şeklinde bilgi veriyor. Haziran ve Temmuz aylarında ise, saldırgan, ABD-Kore askeri ittifak temalarına yönelmiştir.
Saldırıların hedefleri genellikle Seul’deki Avrupa elçilikleri olmuştur. Temalar arasında sahte toplantı davetleri, resmi yazılar ve etkinlik davetleri bulunmakta, bu e-postalar genellikle sahte diplomatlardan gönderilmektedir. Bu tuzaklar, çok dilli ve bağlama uygun olarak yazılmıştır; Korece, İngilizce, Farsça, Arapça, Fransızca ve Rusça dillerinde içerikler içermektedir. Ayrıca, kampanyanın daha inandırıcı olması için, çoğu e-posta, gerçek etkinliklerle uyumlu zamanlamalara göre gönderilmektedir.
Oltalama Teknikleri
Saldırılar boyunca kullanılan oltalama mesajları, hedefe ulaşma yöntemini belirli bir tutarlılıkla sürdürmüştür. Saldırgan, e-posta yoluyla Dropbox, Google Drive veya Daum depolama hizmetlerinden parola korumalı arşiv dosyaları (.ZIP) göndererek, e-posta koruma sistemlerinin mesajları işaretleme riskini azaltmıştır. Bu arşivler, PDF olarak gizlenmiş .LNK dosyaları içermekte; dosya çalıştırıldığında, obfuscate edilmiş PowerShell kodu, GitHub veya Dropbox‘tan XenoRAT yükünü almayı sağlamaktadır. Bu süreç, zamanlama görevleri ile sürekli olarak devam ettirilmekte ve saldırganın sistem üzerinde kalıcılığı sağlanmaktadır.
XenoRAT, tuş kaydı, ekran görüntüsü alma, enfekte bilgisayarların web kameralarına ve mikrofonlarına erişim sağlama, dosya transferi gerçekleştirme ve uzaktan kabuk operasyonları gerçekleştirme yeteneklerine sahip etkili bir Trojan’dır. Trellix, XenoRAT’ın doğrudan belleğe yüklenmesine ve Confuser Core 1.6.0 ile obfuscate edilmesine dikkat çekiyor, bu sayede ele geçirilen sistemlerde gizli bir varlık sürdürmektedir.
Çin ve Kuzey Kore Etkisi
Trellix, bu saldırıların APT43 profilini oluşturduğunu ve Kuzey Kore tehlike grubuna özgü teknikleri kullandığını vurguluyor. Bu durumu destekleyen ipuçları arasında Kore e-posta servislerinin kullanımı, GitHub’ın komut ve kontrol için istismar edilmesi ve diğer Kimsuky yazılım aileleri ile tutarlı olan benzersiz GUID ve mutex kullanımı yer alıyor. Bunun yanı sıra, araştırmacılar, Kimsuky kampanyalarıyla daha önce ilişkilendirilmiş IP ve alan adlarını kaydetmişlerdir.
Ancak, zaman dilimi analizi, saldırgan faaliyetlerinin büyük çoğunluğunun Çin merkezli bir aktöre ait olduğunu göstermektedir. Aynı durum, Çin ulusal tatillerini izleyen tatil kesintilerini de yansıtmaktadır. Trellix, kampanyanın APT43 ile orta seviyede bir güvenle ilişkilendirilmesi gerektiğini ve bazı Çin destekli unsurların dahil olduğunu varsaymaktadır.
Sonuç
Güney Kore’deki bu casusluk faaliyeti, hem güvenlik hem de diplomatik ilişkiler açısından büyük bir tehdit oluşturmaktadır. Özellikle, karmaşık oltalama teknikleri ve oldukça hedeflenmiş iletişim metodolojileri, uluslararası elçiliklerin dijital güvenliğini tehdit eden önemli unsurlar olarak değerlendirilmektedir. Devlet destekli siber saldırılara karşı daha güçlü ve proaktif bir yaklaşım benimsemek, gelecekteki potansiyel saldırıları önlemek için kritik bir öneme sahiptir.
