Çin kaynaklı hacker grubu UNC6384, Güneydoğu Asya’daki diplomatlar ve küresel hedeflere yönelik sofistike saldırı kampanyaları yürütüyor. Bu operasyonlarda, geçerli kod imzalama sertifikaları ve ortadaki adam (AitM) teknikleri kullanılarak tespit edilmekten kaçınılıyor.
Captive Portal Yönlendirmesi ve Downloader Teslimi
Mart 2025’te Google Tehdit İstihbarat Grubu tarafından ortaya çıkarılan kampanyada, hedeflerin web trafiği captive portal yöntemiyle kaçırılıyor. Bu sayede “mediareleaseupdates[.]com” adresinden dijital olarak imzalanmış STATICPLUGIN adlı downloader indiriliyor. Downloader, bellekte SOGU.SEC adlı PlugX varyantını konuşlandırarak arka kapı işlevi görüyor.
PlugX ve Teknik Özellikleri
PlugX, dosya sızdırma, tuş kaydı, uzaktan komut kabuğu başlatma ve dosya transferi gibi işlevleri destekleyen, DLL yan yükleme yöntemiyle çalışan bir arka kapıdır. USB sürücüler, kötü amaçlı eklentiler veya hedefe yönelik oltalama e-postalarıyla yayılır. 2008’den beri Çinli tehdit aktörleri tarafından aktif olarak kullanılıyor ve ShadowPad’in halefi olarak kabul ediliyor.
Karmaşık Sosyal Mühendislik ve Geçerli Sertifikalar
Kampanya, captive portal üzerinden kullanıcıları Adobe eklenti güncellemesi gibi görünen kötü amaçlı yazılımı indirmeye ikna etmek için gelişmiş sosyal mühendislik teknikleri kullanıyor. “gstatic[.]com” alan adı üzerinden yapılan istekler, AitM saldırısıyla tehdit aktörü kontrolündeki açılış sayfasına yönlendirme zincirini tetikliyor. STATICPLUGIN, Chengdu Nuoxin Times Technology Co., Ltd tarafından GlobalSign sertifikasıyla imzalanmış ve bu sertifikalar Ocak 2023’ten beri çeşitli Çin bağlantılı kötü amaçlı yazılımlarda kullanılmıştır.
Operasyonel Yetkinlik ve Tehdit Aktörünün Evrimi
UNC6384’ün bu kampanyası, gelişmiş AitM teknikleri ile geçerli kod imzalama sertifikalarının birleşimini göstererek grubun operasyonel kapasitesinin sürekli geliştiğini ortaya koyuyor. Bu durum, Çin Halk Cumhuriyeti bağlantılı tehdit aktörlerinin karmaşıklığını ve tehdit ortamındaki artan sofistikeliği vurguluyor.