Yine bir gün, yine bir ülke destekli siber casusluk gösterisi. Bu kez sahne Çin bağlantılı aktörler ve hedefler şaşırtıcı derecede geniş bir yelpazeye yayılmış durumda: Pakistan’dan Polonya’ya kadar hükümetler, savunma sektörleri, hassas konuları koklayan gazeteciler ve Pekin’i rahatsız eden türden aktivistler.
Trend Micro, bu dijital kaosun spesifik türüne SHADOW-EARTH-053 adını vermiş. En az Aralık ayından beri faaliyetteler ve diğer bilinen kötü niyetli gruplarla uzak akrabalıkları olduğunu iddia etseler de, kullandıkları taktikler maalesef tanıdık. Microsoft Exchange ve IIS sunucularındaki bilinen zafiyetleri istismar etmek mi? Tamam. Kalıcı erişim için Godzilla gibi web shell’ler bırakmak mı? Tamam. Ardından DLL sideloading kullanarak ShadowPad implantlarını yerleştirmek. Kısacası, güncellenmiş bir klasik.
Ve mağdurlar listesi? Coğrafi olarak önemli noktalar: Pakistan, Tayland, Malezya, Hindistan, Myanmar, Sri Lanka, Tayvan. Sonra Avrupa’dan tek başına bu ağa yakalanmış gibi görünen NATO üyesi Polonya var. Bu SHADOW-EARTH-053 hedeflerinin neredeyse yarısı, özellikle Malezya, Sri Lanka ve Myanmar’dakiler, daha önce de benzer bir grup olan SHADOW-EARTH-054 tarafından ele geçirilmişti. Doğrudan bir koordinasyon gözlemlenmemiş, diyorlar. Öyle mi?
İlk saldırı genellikle dijital de olsa kaba kuvvetle gerçekleşiyor. Yama yapılmamış zafiyetleri istismar ediyorlar. İçeri girip bir web shell yerleştiriyorlar — düşünün ki bu uzaktan kumanda için bir arka kapı. Oradan sonrası keşif, ardından ShadowPad arka kapısını dağıtmak. Hepsi, kötü amaçlı kodun güvenilir görünmesini sağlayan akıllı bir numara olan DLL side-loading kullanılarak yapılıyor.
Hatta Noodle RAT’ın Linux versiyonunu dağıtmak için bir React2Shell hatasını bile silahlandırmışlar. Evet, RAT. Google Threat Intelligence, tüm bu zinciri UNC6595’e bağladı. IOX, GO Simple Tunnel ve Wstunnel gibi açık kaynak araçlar mı? Tünelleme için kullanılmış. Binarileri paketlemek için RingQ. Yetki yükseltme için Mimikatz. Yanal hareket için Sharp-SMBExec. Tam bir kötülük şöleni.
Trend Micro’nun tavsiyesi, tahmin edilebileceği gibi, sistemlerinizi yamalamak. Devrim niteliğinde. Ama geçici bir çözüm olarak Saldırı Önleme Sistemleri veya Web Uygulama Güvenlik Duvarları’nı da öneriyorlar. Sanal yama diyorlar buna. Sanki her kuruluşun bu düzeyde acil, özelleştirilmiş savunma kaynakları varmış gibi.
GLITTER CARP ve SEQUIN CARP: Isıran Fısıltılar
Ancak hükümet düzeyindeki casusluk hikayenin sadece yarısı. Citizen Lab, Çin’e bağlı iki grubun daha, GLITTER CARP ve SEQUIN CARP hakkında ayrı bir bomba patlattı. Onların oyunu ne? Gazetecileri ve sivil toplum gruplarını hedef almak. Uygur, Tibetli, Tayvanlı, Hong Kong diasporası aktivistleri — yani, uygunsuz gerçekleri rapor edebilecek veya protesto edebilecek ‘bilinen şüpheliler’. Bu kampanyalar Nisan ve Haziran aylarında ortaya çıktı.
GLITTER CARP, özellikle Uluslararası Araştırmacı Gazeteciler Konsorsiyumu’ndaki (ICIJ) gazetecileri kandırmak için insanları ve teknoloji şirketlerinin güvenlik uyarılarını taklit etmekle meşgul. SEQUIN CARP ise ICIJ gazetecisi Scilla Alecci ve Pekin için hassas konuları takip eden diğer kişileri hedef aldı. Birden fazla hedefte aynı altyapıyı, aynı alanları, aynı taklit edilen kişileri kullanıyorlar. Bu, rutin siber güvenlik gibi görünen, ancak aslında endüstriyel ölçekte bir dezenformasyon ve gözetim operasyonu.
GLITTER CARP ayrıca Tayvan’ın yarı iletken endüstrisine yönelik kimlik avı saldırılarıyla da uğraştı. Proofpoint geçen Temmuz ayında bunu UNK_SparkyCarp olarak adlandırdı. SEQUIN CARP ise Volexity’nin UTA0388’i ve Trend Micro’nun TAOTH’u ile bağlantılı. Hepsi birbirine bağlı, nüfuz ve etki alanlarının karmaşık bir ağı.
Amaç mı? E-posta kimlik bilgilerini çalmak, kimlik avı sayfaları aracılığıyla bilgi toplamak veya sosyal mühendislik yoluyla üçüncü taraf OAuth token’larını ele geçirmek. GLITTER CARP, e-postaların açılıp açılmadığını doğrulamak için 1x1 izleme pikselleri bile kullanıyor. Küçük detaylar. Büyük sonuçlar.
Bu sadece veri hırsızlığı değil. Bu, muhalefeti susturmak, anlatıları kontrol etmek ve demokratik süreçleri baltalamakla ilgili. Teknoloji sofistike, taktikler acımasız ve hedefler konuşmaya veya gerçeği rapor etmeye cesaret edenler. Siber savaş alanının sadece kurumsal casusluktan çok daha öteye uzandığının ürpertici bir hatırlatıcısı.
“Grup, internete dönük Microsoft Exchange ve Internet Information Services (IIS) sunucularındaki (örneğin, ProxyLogon zinciri) ‘N-gün’ zafiyetlerini istismar ediyor, ardından kalıcı erişim için web shell’ler (Godzilla) dağıtıyor ve geçerli imzalı çalıştırılabilir dosyaların DLL sideloading’i aracılığıyla ShadowPad implantlarını hazırlıyor.”
Bu sadece zafiyetleri yamalamak değil; kalıcı, iyi finanse edilmiş siber operasyonların ardındaki motivasyonları anlamakla ilgili. Şirketler ve hükümetler açıklarla mücadele ederken, asıl savaş bilgiyi kontrol etmek ve muhalefeti bastırmak isteyenler tarafından yürütülüyor. Ve bu, dürüst olmak gerekirse, henüz anlamaya başladığımız bir mücadele.
Gazeteciler İçin Neden Önemli?
Hükümetlere karşı kullanılan araçların artık Dördüncü Kuvvet’e yöneltilmiş olması nedeniyle önemli. Taklit etme, sofistike kimlik avı ve kimlik bilgisi toplama artık rakip uluslara karşı devlet destekli casusluğun münhasır hakkı değil. Özellikle insan hakları ihlalleri veya jeopolitik gerilimler gibi hassas konuları araştıran gazeteciler artık ön cephedeki hedefler. İletişimlerine ve kaynaklarına erişme yeteneği, araştırmacı gazeteciliğe ve dolayısıyla kamu hesap verebilirliğine doğrudan bir tehdittir. Bu kampanya sadece bir veri ihlali değil; bu, özgür basına bir saldırı.
SHADOW-EARTH-053 Godzilla’yı Nasıl Kullanıyor?
SHADOW-EARTH-053, ele geçirilen sistemlere kalıcı erişim sağlamak için kritik bir bileşen olarak Godzilla web shell’ini kullanıyor. İlk girişi sağlamak için zafiyetleri istismar ettikten sonra, tehdit aktörü komut ve kontrol arayüzü görevi gören Godzilla’yı dağıtıyor. Bu, keyfi komutları uzaktan yürütmelerine, kurbanın ağı hakkında keşif yapmalarına ve nihayetinde ShadowPad gibi daha fazla kötü amaçlı implantı gizli bir varlıklarını sürdürürken yerleştirmelerine olanak tanır.
DLL Sideloading Nedir?
DLL sideloading, meşru, imzalı bir yürütülebilir dosyanın kötü amaçlı bir Dinamik Bağlantı Kütüphanesi (DLL) dosyasını yüklemesi için kandırıldığı bir tekniktir. Meşru program başladığında, belirli konumlardaki gerekli DLL’leri arar, dahil olduğu dizin de dahil. Beklenen adla kötü amaçlı bir DLL o dizinde bulunursa, program onu yükleyecek ve yürütecektir, bu da saldırgana güvenilir bir uygulama kisvesi altında kendi kodunu çalıştırmak için bir yol sunar.
🧬 İlgili İçgörüler
- Daha Fazla Oku: Cisco’nun 9.8 Zafiyetleri Saldırganlara Sunucu Anahtarları ve Kök Erişim Hakkı Sağlıyor
- Daha Fazla Oku: 2026 Konuşma Turu: Yapay Zeka, Siber, Demokrasi [Program]
Sıkça Sorulan Sorular
SHADOW-EARTH-053 ne yapar?
SHADOW-EARTH-053, casuslukla uğraşan Çin bağlantılı bir tehdit aktörüdür. Başlıca zafiyetleri istismar ederek, kalıcı erişim için web shell’ler dağıtarak ve ardından ShadowPad gibi implantlar kullanarak bilgi çalmak suretiyle hükümetleri ve savunma sektörlerini hedef alır.
Gazeteciler gerçekten Çinli hackerlar tarafından mı hedef alınıyor?
Evet. Citizen Lab tarafından tanımlanan GLITTER CARP ve SEQUIN CARP gibi gruplar, kimlik bilgilerini toplamak ve hassas bilgilere erişmek için sofistike kimlik avı ve taklit yöntemleriyle özellikle gazetecileri ve aktivistleri hedef alıyor.
Bu açıklardan endişelenmeli miyim?
Eğer bir hükümet, savunma sektörü veya hassas konuları araştıran bir gazeteciyseniz, evet, çok endişelenmelisiniz. Genel kullanıcılar hala iyi siber hijyen uygulamalı, yazılımları güncel tutmalı ve şüpheli bağlantı ve e-postalara karşı dikkatli olmalıdır.
