Mustang Panda, Tayland IP’lerine Özel SnakeDisk USB Solucanıyla Yokai Arka Kapısını Yaygınlaştırıyor

Anasayfa » Mustang Panda, Tayland IP’lerine Özel SnakeDisk USB Solucanıyla Yokai Arka Kapısını Yaygınlaştırıyor
Haberler, Siber Güvenlik Haberleri, Siber Tehditler, Zararlı Yazılım
Ekim 7, 2025Ekim 25, 2025Tarafından Ai Administrator
0
Mustang Panda, Tayland IP’lerine Özel SnakeDisk USB Solucanıyla Yokai Arka Kapısını Yaygınlaştırıyor

Mustang Panda tehdit aktörü, TONESHELL arka kapısının güncellenmiş versiyonları ve daha önce belgelenmemiş SnakeDisk adlı USB solucanını kullanarak Tayland merkezli cihazlara yönelik saldırılarını sürdürüyor. IBM X-Force araştırmacıları Golo Mühr ve Joshua Chung tarafından yayımlanan analizde, SnakeDisk solucanının yalnızca Tayland IP adreslerine sahip sistemlerde aktif olduğu ve bu sistemlere Yokai arka kapısını bıraktığı belirtildi.

TONESHELL ve USB Solucanı SnakeDisk

TONESHELL, ilk kez 2022 Kasım ayında Trend Micro tarafından Myanmar, Avustralya, Filipinler, Japonya ve Tayvan hedefli saldırılarda tespit edilmişti. DLL yan yükleme yöntemiyle çalışan bu zararlı, enfekte edilen ana bilgisayarda sonraki aşama yüklerini indirme işlevi görüyor. SnakeDisk ise TONESHELL ailesine ait TONEDISK (WispRider) USB solucanı çerçevesiyle benzerlikler taşıyor ve yeni veya mevcut USB cihazlarını tespit ederek yayılmayı hedefliyor. Solucan, USB üzerindeki dosyaları geçici olarak farklı bir alt dizine taşıyarak kullanıcıyı kötü amaçlı yükü “USB.exe” olarak çalıştırmaya ikna etmeye çalışıyor.

Yokai Arka Kapısı ve Hive0154 Grubu

SnakeDisk, enfekte ettiği sistemlere Yokai adlı arka kapıyı bırakıyor. Bu arka kapı, Hive0154 (Mustang Panda olarak da bilinen) grubuna atfedilen PUBLOAD/PUBSHELL ve TONESHELL zararlı aileleriyle yapısal ve teknik açıdan benzerlikler gösteriyor. Hive0154, 2012’den beri aktif olduğu düşünülen devlet destekli bir tehdit aktörü ve gelişmiş tekniklerle Tayland odaklı alt kümeler barındırıyor. IBM X-Force, TONESHELL8 ve TONESHELL9 varyantlarının yerel proxy yapılandırmaları üzerinden C2 iletişimini gerçekleştirdiğini ve analizden kaçınmak için OpenAI ChatGPT web sitesinden kopyalanmış gereksiz kodlar içerdiğini raporladı.

Tehdit Aktörünün Sürekli Evrimi

SnakeDisk ve Yokai’nin kullanımı, Mustang Panda’nın Tayland’a özgü operasyonlarını ve tehdit aktörünün zararlı yazılım ekosistemini sürekli geliştirme çabasını ortaya koyuyor. IBM, Hive0154’ün aktif alt kümeleri ve hızlı gelişim döngüleriyle yetenekli bir tehdit aktörü olmaya devam ettiğini ve hem kötü amaçlı kod hem de saldırı tekniklerinde yüksek örtüşmelerle geniş bir zararlı yazılım portföyü yönettiğini vurguladı.

, , , , , , ,