ESET Çin Bağlantılı Yeni Bir Tehdit Grubunu Keşfetti: PlushDaemon : YEPUTV

ESET, Çin’e bağlı bir Gelişmiş Kalıcı Tehdit (APT) grubunun, PlushDaemon adıyla yürüttüğü siber casusluk operasyonlarını tespit etti. ESET araştırmacıları, bu grubun Güney Kore’deki bir VPN hizmetine yönelik tedarik zinciri saldırısı düzenlediğini ortaya koydu. Bu saldırı sırasında, saldırganlar yasal yazılım yükleyicilerini kötü amaçlı yazılım içeren bir araç setiyle değiştirerek, hem yazılımın hem de grubun imza implantını dağıttılar.

ESET, SlowStepper adını verdikleri bir araç setinin, grubun kullandığı güçlü bir arka kapı olduğunu belirledi. Bu araç seti, 30’dan fazla bileşenden oluşuyor ve gelişmiş casusluk yeteneklerine sahip. PlushDaemon grubunun Çin, Tayvan, Hong Kong, Güney Kore, ABD ve Yeni Zelanda’daki hedeflere yönelik uzun süreli casusluk faaliyetlerinde bulunduğu tespit edildi.

ESET araştırmacısı Facundo Muñoz, “Mayıs 2024’te, Güney Kore’deki kullanıcıların yasal VPN yazılımı IPany’nin web sitesinden indirdikleri Windows için bir yükleyicide kötü amaçlı kod tespit ettik. Yükleyicinin, yazılımı ve arka kapıyı birlikte dağıttığını keşfettik. VPN yazılımının geliştiricisiyle temasa geçerek durumu bildirdik ve kötü amaçlı yükleyiciler web sitesinden kaldırıldı” şeklinde açıklamalarda bulundu.

PlushDaemon, yasal VPN yazılımlarını hedef alarak, saldırganların kontrolündeki sunuculara trafiği yönlendiren bir teknik kullanıyor. Bu, Çin’e ait uygulamaların güncellemelerini ele geçirerek ilk erişimi sağlama yöntemlerinden biri. ESET ayrıca, grubun yasal web sunucularındaki güvenlik açıklarını da kullandığını gözlemledi.

SlowStepper arka kapısı, sadece PlushDaemon tarafından kullanılıyor ve DNS tabanlı çok aşamalı iletişim protokolüyle yönetiliyor. Arka kapı, casusluk yeteneklerine sahip birçok Python modülünü indirip çalıştırabiliyor. Saldırganlar, web tarayıcıları, mesajlaşma uygulamaları (WeChat, Telegram gibi), ses ve video kaydı yoluyla önemli bilgileri topluyor ve şifreleri çalabiliyor.

Bu gelişmeler, PlushDaemon grubunun siber güvenlik için önemli bir tehdit oluşturduğunu ve siber casusluk operasyonlarının giderek daha sofistike hale geldiğini gösteriyor. ESET’in bu tehdit grubunun faaliyetlerini tespit etmesi, siber güvenlik araştırmalarındaki başarılı çalışmalardan biri olarak dikkat çekiyor.