2026 yılının Mart ve Nisan aylarında, Güney Kore askeri ve kurumsal hedeflerine yönelik yeni siber saldırılar tespit edildi. Bu kampanyalarda, sosyal mühendislik teknikleriyle meşru güvenlik yazılımı kurulum sayfaları ve sahte Webex toplantı sayfaları kullanılarak hedeflere kötü amaçlı yazılım bulaştırıldı.
Saldırı Zinciri ve Teknik Detaylar
Saldırganlar, HTTPSpy adlı kötü amaçlı yazılımın varyantlarını, Güney Kore’nin B2B mesajlaşma hizmetlerinin güvenlik yazılımı yükleyicileri gibi gösterilen sahte web sayfaları üzerinden yaydı. Bu sayfalar, firewall ve klavye güvenliği araçları gibi iki sahte güvenlik programı sunuyor. Kullanıcılar “nos-setup.exe” veya “astx-setup.exe” adlı dosyaları indirip çalıştırdığında, arka planda ikinci aşama yükleyici DLL (MemLoader.dll) regsvr32.exe ile başlatılıyor ve ardından kendini silen bir betik çalışıyor. DLL, görev zamanlayıcı ile kalıcılık sağlıyor ve komut kontrol sunucusundan (C2) bilinmeyen bir yük indiriyor.
Nisan 2026’da gözlemlenen başka bir kampanyada ise, Cisco Webex taklidi yapan sahte bir sayfa, kullanıcıları kamera erişim sorunlarını gidermek için bir script indirmeye yönlendiriyor. Bu script, şifrelenmiş JavaScript dosyasını açarak PowerShell tabanlı bir ara indirici çalıştırıyor. Bu indirici, anti-analiz kontrolleri yapıp sonraki aşama kötü amaçlı yazılımları (engine.dat veya spyInster.dll) indiriyor ve sonunda HTTPSpy’ı sistemde aktif hale getiriyor.
Yeni Araçlar ve Teknikler
Son analizler, saldırgan grubun Microsoft Visual Studio Code (VS Code) tünelleme, Cloudflare Quick Tunnels, DWAgent uzaktan yönetim aracı, büyük dil modelleri (LLM) ve Rust programlama dili gibi modern teknikleri kullandığını ortaya koydu. Bu yöntemlerle kalıcılık sağlanıyor ve post-exploitation faaliyetleri yürütülüyor.
Kullanılan zararlılar arasında Rust tabanlı HelloDoor (PebbleDash varyantı), Aralık 2025’ten itibaren görülen HttpMalice (gelişmiş bilgi toplama ve kalıcılık özellikleriyle), HttpTroy (yükleyici aracılığıyla dosya transferi ve ters kabuk imkanı), AppleSeed (komut alma ve hassas veri toplama) ve HappyDoor (AppleSeed’in gelişmiş versiyonu) yer alıyor.
Hedef Sektörler ve Coğrafi Yayılım
Bu saldırılar, Güney Kore’deki kamu ve özel sektör kuruluşlarını hedef alırken, PebbleDash varyantları Brezilya ve Almanya’daki savunma sanayi kuruluşlarına da saldırılar düzenledi. AppleSeed ise daha çok devlet kurumlarına odaklanıyor. Saldırganların, orijinal zararlı yazılım kaynak kodlarına erişimi olduğu ve hedef sektörlerde hızlı adaptasyon sağladığı belirtiliyor.
Siber Güvenlik Ekipleri İçin Öneriler
- Güvenlik duvarı ve EDR sistemlerinde HTTPSpy ve PebbleDash gibi zararlılara karşı özel imza ve kural setleri oluşturun.
- VS Code Remote Tunneling ve Cloudflare Quick Tunnels gibi meşru araçların kötüye kullanımını izlemek için ağ trafiği analizini güçlendirin.
- Phishing ve sosyal mühendislik saldırılarına karşı kullanıcı farkındalığını artırın, özellikle kurumsal mesajlaşma yöneticilerine yönelik eğitimler düzenleyin.
- Görev zamanlayıcı ve regsvr32.exe gibi Windows bileşenlerinin anormal kullanımını SIEM sistemleriyle takip edin.
- JSONP tabanlı zararlı iletişim (JSONPing) gibi gelişmiş tekniklere karşı endpoint davranış analizlerini etkinleştirin.
- Güvenlik yazılımı kurulum sayfaları ve Webex gibi popüler uygulamaların sahte versiyonlarına karşı URL filtreleme ve DNS güvenliği uygulayın.
- Çok faktörlü kimlik doğrulama (MFA) ve erişim yönetimi (IAM) politikalarını sıkılaştırarak hesap ele geçirmelerini önleyin.
- Kritik altyapı ve savunma sektörlerinde Zero Trust mimarisi benimseyerek saldırı yüzeyini azaltın.
Teknik Özet
- Kötü amaçlı yazılımlar: HTTPSpy, HelloDoor, HttpMalice, HttpTroy, AppleSeed, HappyDoor
- Hedefler: Güney Kore kamu ve özel sektör, Brezilya ve Almanya savunma sanayi, devlet kurumları
- Kullanılan teknikler: Sosyal mühendislik, sahte güvenlik yazılımı sayfaları, Webex taklidi, VS Code ve Cloudflare tünelleme, JSONPing iletişimi
- Saldırı zinciri: Sosyal mühendislik ile phishing → zararlı yük indirici → ikinci aşama DLL yükleme → C2 iletişimi → kalıcılık ve veri sızdırma
- Önerilen savunma: EDR ve SIEM entegrasyonu, ağ segmentasyonu, MFA, kullanıcı eğitimi, anomali tespiti