Çinli TA415 Grubu, ABD Ekonomi Politikası Uzmanlarını VS Code Remote Tunnels ile Gözetliyor

Anasayfa » Çinli TA415 Grubu, ABD Ekonomi Politikası Uzmanlarını VS Code Remote Tunnels ile Gözetliyor
Haberler, Siber Casusluk, Siber Güvenlik, Tehdit İstihbaratı
Eylül 22, 2025Ekim 25, 2025Tarafından admin
0
Çinli TA415 Grubu, ABD Ekonomi Politikası Uzmanlarını VS Code Remote Tunnels ile Gözetliyor

Çin kaynaklı TA415 tehdit aktörü, ABD hükümeti, düşünce kuruluşları ve akademik çevrelerdeki ekonomi politikası uzmanlarını hedef alan sofistike bir oltalama kampanyası yürütüyor. Bu operasyon, ABD-Çin ekonomik ilişkileri ve ticaret müzakereleri devam ederken istihbarat toplama amacı taşıyor.

Kampanyanın Teknik Detayları

Proofpoint tarafından Temmuz ve Ağustos 2025’te gözlemlenen saldırılar, TA415’in APT41 ve Brass Typhoon (eski adıyla Barium) ile bağlantılı olduğunu gösteriyor. Saldırganlar, ABD-Çin İş Konseyi kılığına girerek, hedeflerine “uschina@zohomail[.]com” adresinden e-postalar gönderiyor. Bu mesajlar, Cloudflare WARP VPN ile kaynak gizliliği sağlanarak, Zoho WorkDrive, Dropbox ve OpenDrive gibi genel bulut servislerinde barındırılan parola korumalı arşivlere yönlendiriyor.

Arşivlerde yer alan Windows kısayolu (LNK) dosyası, gizli bir klasörde bulunan toplu iş betiğini çalıştırıyor ve kullanıcıyı PDF görüntüleyicisiyle aldatıyor. Betik, WhirlCoil adlı Python yükleyicisini devreye alarak kalıcı arka kapı erişimi sağlıyor. Bu yükleyici, sistemde Visual Studio Code Remote Tunnels kuruyor ve hedef makineden sistem bilgisi ile çeşitli kullanıcı dizinlerinin içeriğini topluyor.

Uzaktan Erişim ve Kalıcılık Mekanizması

Yükleyici, GoogleUpdate veya MicrosoftHealthcareMonitorNode isimli planlanmış görevler oluşturarak her iki saatte bir çalışıyor ve böylece kalıcılık sağlıyor. Yönetici yetkisi varsa, görev SYSTEM ayrıcalıklarıyla işletiliyor. Toplanan veriler, base64 formatında HTTP POST ile requestrepo[.]com gibi ücretsiz istek kayıt servislerine gönderiliyor. Bu sayede tehdit aktörü, VS Code Remote Tunnel üzerinden dosya sistemine erişip, Visual Studio’nun yerleşik terminali aracılığıyla komut çalıştırabiliyor.

Önceki Saldırılarla Benzerlikler ve Güvenlik Uyarıları

Bu kampanyada kullanılan enfeksiyon zinciri, Eylül 2024’te havacılık, kimya, sigorta ve üretim sektörlerine yönelik saldırılarda kullanılan yöntemlerle büyük oranda benzerlik gösteriyor. Proofpoint araştırmacısı Mark Kelly, Visual Studio Code Remote Tunnels’ın meşru bir özellik olması nedeniyle ağ savunucuları tarafından tespit edilmesinin zor olduğunu vurguladı. TA415’in bu yöntemi düşük hacimli ve hedefli saldırılarda kullanmaya devam ettiği belirtiliyor.

, , , , , , ,