LongNosedGoblin: Çin bağlantılı APT Grubunun Güneydoğu Asya ve Japonya Hedefli Siber Casusluk Harekâtı

Bir güvenlik araştırması firması olan ESET, yeni bir Çin bağlantılı APT grubunu saptadı. LongNosedGoblin adı verilen bu grubun, Güneydoğu Asya ve Japonya’da devlet kurumlarını hedefleyen siber casusluk araçları kullandığı ortaya çıktı. ESET Research, Grup İlke Yönetimi (GPO) üzerinden kötü amaçlı yazılımların dağıtımı ve ağ içinde yatay hareket için bu grubun operasyonlarını harekete geçirdiğini belirledi.

Grupun temel amacı, ele geçirilen ağlarda Komuta ve Kontrol (C&C) için bulut depolama hizmetlerini kullanmak. Örneğin Microsoft OneDrive ve Google Drive gibi platformlar, zararlı yazılımların dağıtımı için bir vadi edinmiş durumda. 2024 yılında Güneydoğu Asya’daki bir devlet kurumunun ağında yeni bir zararlı yazılım izi tespit edildi; bu tehditin Eylül 2023’ten beri aktif olduğu düşünülüyor ve Eylül 2025 itibarıyla bölgede yeniden canlandığı gözlemleniyor.

LongNosedGoblin’in araç yelpazesi, tarayıcı geçmişi toplayan NosyHistorian ve kurban makinelerinin meta verilerini toplayan NosyDoor gibi araçları içerir. NosyDoor, kurbanın adı, kullanıcı hesabı, işletim sistemi sürümü ve mevcut işlemin ismi gibi bilgileri toplar; ardından C&C’ye veri gönderir ve komut dosyalarını alıp işler. Bu komutlar, dosyaların sızdırılmasını, silinmesini ve kabuk komutlarının yürütülmesini mümkün kılar.

Diğer araçlar arasında tarayıcı verilerini çalmak için kullanılan NosyStealer, zararlı bir yükü belleğe indirip çalıştıran NosyDownloader ve özel bir anahtar kaydı toplayıcı olarak görülen NosyLogger bulunur. Grubun ayrıca ters bağlantılı SOCKS5 proxy kullanımı ve video kaydı için FFmpeg gibi araçların çalıştırılmasına olanak tanıyan bir argüman yürütücüsü kullandığı da saptandı.

Anton Cherepanov – ESET araştırmacısı, “Farklı teknikler kullanarak ve Yandex Disk bulut hizmetini C&C olarak kullanan başka bir NosyDoor varyantını tespit ettik; bu, kötü amaçlı yazılımın Çin bağlantılı birden çok tehdit grubuyla paylaşılabileceğini gösteriyor” dedi.

Kaynak: Beyaz Haber Ajansı (BYZHA)