Çin bağlantılı gelişmiş bir siber casusluk grubu, Güney Amerika ve Güneydoğu Avrupa’daki devlet kuruluşlarını hedef alıyor, özel kötü amaçlı yazılım ve gizlilik odaklı müdahale teknikleri koleksiyonu kullanarak, yeni araştırmaya göre Cisco Talos .
UAT-8302 olarak takip edilen tehdit kümesi, en az 2024 sonlarından beri Güney Amerika’da aktif olduğu ve 2025 yılında operasyonlarını Avrupa’nın bazı bölgelerine genişlettiği bildiriliyor. Araştırmacılar, kampanyanın Çin ile bağlantılı birden fazla tehdit grubu ile kötü amaçlı yazılım ekosistemleri arasında artan koordinasyonu yansıttığını söylüyor.
Cisco Talos araştırmacıları, saldırganların daha önce bilinen Çin’in gelişmiş kalıcı tehdit operasyonlarıyla ilişkilendirilen birkaç kötü amaçlı yazılım ailesini dağıttığını gözlemledi. Bunlar arasında NetDraft (NosyDoor) da var, bir . Tehlikeye giren ortamlarda kalıcı uzaktan erişim sağlamak için tasarlanmış NET tabanlı arka kapı.
Bu kötü amaçlı yazılım, daha önce Jewelbug, REF7707, CL-STA-0049 ve LongNosedGoblin gibi isimlerle takip edilen Çin bağlantısı tehdit aktörleriyle bağlantılı olan FinalDraft veya SquidDoor olarak bilinen daha geniş bir zararlı yazılım ailesiyle bağlantılıdır.
Araştırmacılar ayrıca, 2024’te Rus hükümet birimlerine yönelik saldırılarda gözlemlenen casusluk odaklı başka bir kötü amaçlı yazılım türü olan CloudSorcerer arka kapısının güncellenmiş bir varyantını da tespit ettiler. Kampanyalar arasında araçların yeniden kullanımı, birden fazla Çin siber casusluk kümesi arasında operasyonel örtüşme veya iş birliği olduğunu gösteriyor.
Talos’a göre, saldırganlar öncelikle devlet kurumlarına odaklandı, ancak araştırmacılar etkilenen ülkeleri veya kurumları kamuoyuna açıklamadı. Kampanya, finansal motivasyonlu siber suçlardan ziyade uzun vadeli istihbarat toplamaya odaklanmış gibi görünüyor.
Bu operasyon, Çin devletine bağlı siber faaliyetlerdeki daha geniş bir eğilimi yansıtıyor. Güvenlik araştırmacıları ve istihbarat ajansları, Çin yanlısı tehdit aktörlerinin küresel casusluk kampanyalarını genişlettiğini, giderek daha fazla devlet kurumlarını, telekomünikasyon altyapısını, savunma yüklenicilerini ve kritik altyapı operatörlerini hedef aldığını defalarca uyardı.
Bozucu ve şantajı önceliklendiren fidye yazılımı gruplarının aksine, gelişmiş kalıcı tehdit grupları genellikle gizlilik ve ısrarlılığa odaklanır. Bu operasyonlar genellikle hassas iletişimler, kimlik bilgileri, stratejik istihbarat veya jeopolitik bilgiler toplarken uzun süre ağlar içinde fark edilmeden kalacak şekilde tasarlanmıştır.
Cisco Talos, UAT-8302’nin tespit edilmemek için özel hazırlanmış zararlı yazılım ve gelişen taktikler kullandığını belirtti. Saldırganların, farklı ortamlara ve operasyonel gereksinimlere uyum sağlayabilen modüler araçlara güvendiği bildiriliyor.
Araştırmacılar ayrıca, kampanyayı daha önce belgelenmiş birkaç Çin casusluk grubuyla ilişkilendiren altyapı ve kötü amaçlı yazılım benzerliklerine de dikkat çekti. Bu tür örtüşmeler, kötü amaçlı yazılım ailelerinin, altyapı bileşenlerinin ve operasyonel tekniklerin genellikle ilgili ekipler arasında paylaşıldığı eyalet bağlantılı siber operasyonlarda yaygındır.
Güney Amerika hükümet kurumlarının hedef alınması özellikle dikkat çekicidir çünkü Çin siber casusluğu hakkında kamuya açık haberlerin çoğu tarihsel olarak Kuzey Amerika, Avrupa ve Asya-Pasifik bölgelerine odaklanmıştır. Analistler, bu faaliyetin jeopolitik istihbarat önceliklerinin genişlemesini ve daha geniş uluslararası toplama çabalarını işaret ettiğini söylüyor.
Aynı zamanda, Güneydoğu Avrupa birden fazla devlet bağlantılı aktörün yer aldığı siber casusluk operasyonları için giderek daha aktif bir bölge haline geldi. Bölgedeki hükümetler genellikle NATO, Avrupa Birliği politikası, telekomünikasyon altyapısı ve bölgesel siyasi gelişmelerle ilgili stratejik pozisyonlarda bulunur.
Kampanya ayrıca Çin siber operasyonlarının teknik olarak nasıl gelişmeye devam ettiğini vurguluyor. Son raporlar, Çinli tehdit gruplarının bulut hizmetlerini, kaçırılmış tüketici cihazlarını, gizlilik odaklı botnetleri ve tedarik zinciri tehlikalarını kullanarak tespit risklerini azalttığını ve hedeflere uzun vadeli erişimi sürdürdüğünü belgeledi.
Güvenlik araştırmacıları, modern casusluk kampanyalarının giderek daha zor tespit edilmesinin arttığını, çünkü saldırganların meşru araçlara, şifreli iletişimlere ve güvenilir bulut altyapısına büyük ölçüde güvendiğini belirtiyor. Birçok durumda, organizasyonlar faaliyetler tespit edilmeden önce aylarca tehlikeye girebilir.
UAT-8302’nin ortaya çıkışı, Volt Typhoon, Hafnium ve APT41 gibi dünya çapında aktif olan Çin bağlantılı gelişmiş kalıcı tehdit gruplarının artan listesine ekler; bunların hepsi daha önce hükümetleri ve kritik sektörleri hedef alan casusluk kampanyalarıyla bağlantılı olmuştur.
Cisco Talos araştırmacıları, operasyonun aktif olmaya devam ettiğini, kampanyayla bağlantılı ek kurbanları, altyapıyı ve kötü amaçlı yazılım varyantlarını tespit etmeye odaklandığını belirtti.