GoSerpent Zararlısı: Güneydoğu Asya Hükümetlerini ve Diplomatlarını Hedefleyen Yeni Casusluk Aracı

Anasayfa » GoSerpent Zararlısı: Güneydoğu Asya Hükümetlerini ve Diplomatlarını Hedefleyen Yeni Casusluk Aracı
GoSerpent Zararlısı: Güneydoğu Asya Hükümetlerini ve Diplomatlarını Hedefleyen Yeni Casusluk Aracı

Son dönemde Güneydoğu Asya bölgesindeki devlet kurumları ve diplomatik temsilcilikler, GoSerpent adlı yeni bir zararlı yazılımın hedefi haline geldi. Siber güvenlik alanında faaliyet gösteren Kaspersky’nin 2026’nın başlarında tespit ettiği bu kötü amaçlı yazılım, uzun vadeli sızıntılar ve istihbarat toplama amacıyla kullanılıyor.

Saldırının Genel Çerçevesi

GoSerpent, enfekte ettiği sistemlerde dışarıya bağlı bir sunucu ile iletişim kurarak, hassas veri toplamaya ve kimlik bilgisi hırsızlığına yönelik ikincil kötü amaçlı bileşenler yayıyor. Mayıs 2026’da saldırganların, Stowaway RAT ve yeni bir proxy aracı gibi gelişmiş tehdit araçlarıyla operasyonlarını sürdürdüğü ortaya çıktı. Bu yeni araçlar, önceki aylar boyunca ağ paylaşımı üzerinden toplanan kritik verilerin gizlice dışarı sızdırılmasını kolaylaştırıyor.

Bu kampanyanın nihai amacı, toplanan hassas dosyaları ThumbcacheService adlı özel bir veri toplama aracıyla organize edip, sistemden dışarı aktarmak. Aynı zamanda GoSerpent, Mimikatz gibi kimlik bilgisi çıkartma araçlarını da kullanarak sistemlere ait oturum açma bilgilerini ele geçiriyor. Böylece, ağdaki paylaşılan sürücüler üzerinden veri sızıntısı mümkün hale geliyor.

Kullanılan Araçlar ve Teknik Detaylar

GoSerpent, 2021 yılından beri Güneydoğu Asya kaynaklı hedeflere yönelik olarak farklı varyantlarıyla kullanıldı. Komutlar, şifrelenmiş ve Base64 formatında kodlanmış parametreler aracılığıyla iletiliyor. Enfekte sistem, SHA256 tabanlı anahtar ile şifrelenmiş komut kontrol sunucusuna bağlanıyor. Bu yapı, komutların gizliliğini ve bağlantının güvenliğini sağlıyor.

Desteklenen komutlar arasında; belirli portlarda dinleme başlatma, dinleme portlarını kapatma, uzak sunucuya bağlanma, shell (kabuk) açma, dosya yükleme ve indirme, SOCKS5 proxy başlatma ve bağlantıları başka bir düğüme yönlendirme gibi işlemler yer alıyor. Kaspersky’nin açıklamasına göre, GoSerpent aracılığıyla kurulan SOCKS5 proxy sunucuları, saldırganların gerçek IP adreslerini gizleyerek başka ağlara erişim sağlamasına olanak tanıyor.

Buna ek olarak, McMx RAT, ThumbcacheService, Mimikatz ve QuarksDumpLocalHash gibi araçlar saldırı zincirinde aktif rol oynuyor. McMx RAT, GoSerpent’in hafifletilmiş proxy ve uzaktan erişim bileşeni olarak çalışırken, ThumbcacheService gelişmiş dosya toplama fonksiyonu sunuyor. Mimikatz ise LSASS belleğinden kimlik bilgilerini çıkarıyor, QuarksDumpLocalHash ise SAM kayıt defterinden yerel kullanıcı parola karmalarını elde ediyor.

Gelişmiş Araç Seti ve Operasyonel Planlama

Aylar süren gizli veri toplamanın ardından Mayıs 2026’da saldırganlar, Stowaway ve TmcLoader/TmcPayload gibi yeni araçları devreye soktu. Stowaway, SOCKS5 proxy, port yönlendirme, ters tünelleme, uzak kabuk erişimi ve SSH tabanlı tünelleme özellikleriyle oldukça kapsamlı bir uzaktan erişim aracı olarak ön plana çıkıyor. TmcLoader ise şifrelenmiş TmcPayload isimli bir yükü taşıyarak, kritik verilerin dışa aktarılmasını sağlıyor.

Kampanya, daha önce TetrisPhantom olarak bilinen ve bölgedeki hükümet kurumlarına yönelik saldırılar düzenleyen gelişmiş tehdit grubu ile teknik ve operasyonel benzerlikler taşıyor. Bu grubun, donanım tabanlı şifreleme kullanan özel USB sürücüler üzerinden gizli veri sızıntısı yaptığı biliniyor. Böyle bir yöntem, özellikle güvenlik önlemleri yüksek kurumlarda bile veri hırsızlığını mümkün kılıyor.

DoNot Team ve Yeni Saldırı Zinciri

GoSerpent haberinin hemen ardından, DoNot Team adlı başka bir tehdit aktörünün Bangladeş’in askeri ve savunma kuruluşlarını hedef alan karmaşık bir siber casusluk operasyonu yürüttüğü bilgisi paylaşıldı. Bu saldırılar, kötü amaçlı RTF dosyaları içeren oltalama e-postalarıyla başlıyor. Dosya, OneDrive telemetri görünümünde gizlenen DLL implantını kuruyor. Ardından, hedef cihazları profilleyip şifrelenmiş HTTPS bağlantıları üzerinden komut kontrol sunucusuna sinyal gönderiyor.

Karmaşık VBA makrolarının kullanıldığı bu saldırı zincirinde, mimariden bağımsız shellcode enjeksiyonu ve XOR tabanlı çok aşamalı gizleme teknikleri dikkat çekiyor. Bu yöntemler, tespit edilmeden uzun süreli erişim sağlamak için tercih ediliyor.

Sistem Yöneticilerine Tavsiyeler

Bu tür gelişmiş saldırılara karşı kurumların güvenlik önlemlerini artırması gerekiyor. İlk olarak, e-posta güvenliği katmanlarını güçlendirmek ve şüpheli makro içeren dosyaları engellemek önemli. Ayrıca, uç nokta algılama ve yanıt (EDR) çözümleriyle anormal davranışlar takip edilmeli. Ağ segmentasyonu, kritik varlıkların izole edilmesi için şart. MFA (Çok Faktörlü Kimlik Doğrulama) ve düzenli yama süreçleri saldırı yüzeyini azaltır. Son olarak, olay müdahale planlarının güncel tutulması, olası ihlallerde hızlı aksiyon alınmasını sağlar.

Bu gelişmeler, sofistike devlet destekli grupların Güneydoğu Asya’da istihbarat toplamak için karmaşık araç setlerine yöneldiğini gösteriyor. Kurumlar, hem teknik hem operasyonel açıdan bu tehditlere karşı hazırlıklı olmalı.