Ocak-Mayıs 2025 döneminde gerçekleşen siber faaliyetler, Broadcom çatısı altındaki Symantec tarafından Jewelbug olarak tanımlanan Çinli bir tehdit aktörüne bağlandı. Symantec, bu grubun Palo Alto Networks Unit 42’nin CL-STA-0049, Trend Micro’nun Earth Alux ve Elastic Security Labs’in REF7707 olarak adlandırdığı tehdit kümeleriyle örtüştüğünü açıkladı.
Rusya ve Çin Arasında Siber Casusluk İlişkisi
Moskova ve Pekin arasında askeri, ekonomik ve diplomatik ilişkiler artarken, Çin kaynaklı siber casusluk operasyonlarının Rusya’da yasak olmadığı ortaya çıktı. Symantec Tehdit Avcısı Ekibi, Rusya’daki BT hizmet sağlayıcılarına yönelik tedarik zinciri saldırılarında saldırganların kod depoları ve yazılım derleme sistemlerine erişim sağladığını belirtti. Özellikle, verilerin Yandex Cloud’a dışa aktarıldığı tespit edildi.
Earth Alux ve FINALDRAFT Arka Kapıları
Earth Alux, 2023 ikinci çeyreğinden beri Asya-Pasifik ve Latin Amerika bölgelerinde hükümet, teknoloji, lojistik, üretim, telekomünikasyon, BT hizmetleri ve perakende sektörlerini hedef alıyor. VARGEIT ve COBEACON gibi kötü amaçlı yazılımlar kullanılıyor. Diğer yandan CL-STA-0049/REF7707 saldırılarında hem Windows hem Linux sistemlerini etkileyen FINALDRAFT (Squidoor) adlı gelişmiş arka kapı dağıtıldı. Symantec, bu iki kümenin ilk kez birbirine bağlandığını bildirdi.
Jewelbug’un Teknik Yöntemleri
Jewelbug, Rus BT sağlayıcısına yönelik saldırıda Microsoft Console Debugger’ın (cdb.exe) yeniden adlandırılmış versiyonunu kullandı. Bu araç shellcode çalıştırmak, uygulama izinlerini aşmak, yürütülebilir dosyalar başlatmak, DLL yüklemek ve güvenlik çözümlerini devre dışı bırakmak için kullanıldı. Ayrıca kimlik bilgileri ele geçirildi, zamanlanmış görevlerle kalıcılık sağlandı ve Windows Olay Günlükleri temizlenerek izler gizlendi.
Tedarik Zinciri Saldırıları ve Bulut Hizmetlerinin Kullanımı
BT hizmet sağlayıcılarının hedef alınması, tedarik zinciri saldırılarına kapı açıyor ve kötü amaçlı yazılım güncellemeleri yoluyla birçok alt müşteriye erişim sağlıyor. Temmuz 2025’te Güney Amerika’daki büyük bir hükümet kuruluşuna yönelik sızmada, Microsoft Graph API ve OneDrive üzerinden komut kontrolü yapan yeni bir arka kapı kullanıldı. Bu yöntem, normal ağ trafiğine karışarak adli analizleri zorlaştırıyor ve tehdit aktörlerinin sistemde kalma süresini artırıyor.
Diğer Hedefler ve Kullanılan Araçlar
2024 sonlarında Güney Asya merkezli bir BT sağlayıcısı ve Tayvanlı bir şirket de hedef alındı. Tayvan saldırısında DLL yan yükleme tekniğiyle ShadowPad arka kapısı bırakıldı. Enfeksiyon zincirinde KillAV, EchoDrv gibi araçlar kullanılarak güvenlik yazılımları devre dışı bırakıldı. Kimlik bilgisi ele geçirme için LSASS, Mimikatz; keşif ve ayrıcalık yükseltme için PrintNotifyPotato, Coerced Potato ve Sweet Potato gibi ücretsiz araçlar tercih edildi. Ayrıca EarthWorm SOCKS tünelleme aracı kullanıldı.
Symantec’in Değerlendirmesi ve Bölgesel Güvenlik Uyarıları
Symantec, bulaşma vektörlerine dair kesin bir doğrulama yapamadığını belirtirken, Jewelbug’un bulut hizmetleri ve meşru araçları tercih ederek gizli ve kalıcı varlık oluşturmayı önceliklendirdiğini vurguladı. Bu gelişmeler, Tayvan Ulusal Güvenlik Bürosu’nun Çin kaynaklı siber saldırılarda artış uyarısı ve Pekin’in sosyal medya üzerinden dezenformasyon faaliyetleri suçlamalarıyla paralellik gösteriyor.