Siber güvenlik şirketi ESET, Asya ve Orta Doğu’daki hedeflere yönelik olarak Çin bağlantılı bir gelişmiş sürekli tehdit (APT) grubu olan TheWizards tarafından yürütülen siber saldırı zincirini analiz etti. Yapılan araştırmada, grubun Spellbinder ve WizardNet adlı zararlı araçları kullandığı belirlendi.
ESET’in elde ettiği verilere göre, Spellbinder aracı, IPv6 protokolündeki durumsuz adres otomatik yapılandırma (SLAAC) mekanizmasını suistimal ederek meşru yazılım güncellemelerini sahte sunuculara yönlendiriyor. Bu yönlendirme sonrasında, hedef sistemlere grup tarafından geliştirilen WizardNet adlı arka kapı yazılımı yükleniyor. WizardNet, saldırganların sistemde uzaktan komut çalıştırmasına olanak tanıyan modüler bir yapıya sahip.
ESET, saldırı zincirinin Filipinler, Kamboçya, Birleşik Arap Emirlikleri, Çin ve Hong Kong’da çeşitli hedefleri etkilediğini ve grubun en az 2022’den bu yana aktif olduğunu belirtti.
ESET araştırmacısı Facundo Muñoz, Spellbinder’ın ilk kez 2022 yılında tespit edildiğini ve 2023 ile 2024 yıllarında çeşitli sürümlerinin dağıtıldığını ifade etti. Analizler, Tencent QQ adlı yazılımın güncelleme sürecinin ele geçirilerek zararlı yazılımın sistemlere bu yolla yüklendiğini ortaya koydu.
Saldırılarda kullanılan son aşama zararlı yazılım olan WizardNet, hedef sistemlere .NET modülleri indirip çalıştırmak için uzaktan bağlantı kuruyor. Yazılımın analiz edilen bir varyantı, sistem belleğinde çalıştırılmak üzere tasarlanmış beş farklı komutu destekliyor.
Araştırma, TheWizards grubunun Çin merkezli Dianke Network Security Technology (UPSEC olarak da biliniyor) şirketiyle bağlantılı olabileceğini ortaya koyuyor. İngiltere Ulusal Siber Güvenlik Merkezi’ne (NCSC UK) göre, UPSEC’in tedarik ettiği farklı bir arka kapı olan DarkNights (DarkNimbus olarak da biliniyor), özellikle Tibet ve Uygur topluluklarını hedef alıyor.
TheWizards’ın saldırılarında kullanılan altyapının, Android cihazlara yönelik yazılım güncellemelerini de kapsayacak şekilde yapılandırıldığı tespit edildi.
