SideWinder tehdit aktörü, Eylül 2025 itibarıyla saldırı taktiklerinde önemli bir değişiklik yaparak, daha önceki Microsoft Word istismarlarına ek olarak PDF ve ClickOnce tabanlı yeni bir enfeksiyon zinciri kullanmaya başladı. Trellix araştırmacıları Ernesto Fernández Provecho ve Pham Duy Phuc tarafından yayımlanan rapora göre, Mart-Eylül 2025 döneminde dört dalga halinde gerçekleştirilen hedefli oltalama kampanyaları, özellikle Hindistan büyükelçilikleri gibi diplomatik hedeflere odaklandı.
ClickOnce Uygulaması ve Yan Yükleme Mekanizması
İlk enfeksiyon vektörü, mağdurun fark etmeden açtığı PDF dosyaları veya istismar içeren Word belgeleri üzerinden gerçekleşiyor. PDF dosyaları, mağduru Adobe Reader’ın güncel sürümünü indirmeye yönlendiren bir buton içeriyor. Bu işlem, uzaktaki bir sunucudan (“mofa-gov-bd.filenest[.]live”) ClickOnce teknolojisiyle dağıtılan “ReaderConfiguration.exe” adlı meşru görünümlü bir uygulamanın indirilmesini tetikliyor. Bu uygulama, MagTek Inc. tarafından imzalanmış ve Adobe Reader gibi davranan bir yürütülebilir dosya olup, arka planda kötü amaçlı “DEVOBJ.dll” adlı DLL dosyasını yan yüklüyor ve mağdura sahte bir PDF sunuyor.
ModuleInstaller ve StealerBot: Çok Katmanlı Kötü Amaçlı Yazılım
Yan yüklenen kötü amaçlı DLL, ModuleInstaller adlı .NET tabanlı bir yükleyiciyi şifre çözerek çalıştırıyor. ModuleInstaller, enfekte sistemin profilini çıkarıp StealerBot adlı gelişmiş bir .NET implantını teslim ediyor. StealerBot, ters kabuk açabilme, ek kötü amaçlı yazılım modülleri indirme ve ekran görüntüsü, tuş kaydı, şifre ve dosya toplama gibi geniş yeteneklere sahip. Bu araçlar, daha önce Kaspersky tarafından Orta Doğu ve Afrika’daki stratejik hedeflere yönelik saldırılarda tespit edilmişti.
Teknik Derinlik ve Güvenlik Zorlukları
ClickOnce uygulamasının meşru bir imzaya sahip olması ve komut-komuta (C2) sunucularının Güney Asya bölgesiyle sınırlandırılması, analiz ve tespit çabalarını zorlaştırıyor. Ayrıca, yük indirme yollarının dinamik oluşturulması, güvenlik araştırmacılarının saldırı zincirini çözmesini güçleştiriyor. Bu saldırı zincirinde, MCP istemcisi benzeri modüler yapılar ve Pydantic AI gibi gelişmiş analiz araçlarına karşı önlemler de gözlemleniyor. AsyncRAT benzeri ters kabuk teknikleri ve konteynerlerin rastgele SSH portları üzerinden iletişim kurması, saldırganların altyapısını gizlemek için kullandığı diğer sofistike yöntemler arasında yer alıyor.
Jeopolitik Bağlam ve Sürekli Evrim
SideWinder’ın çok dalgalı oltalama kampanyaları, grubun jeopolitik hassasiyetleri derinlemesine anladığını ve hedeflerine yönelik özel tuzaklar kurma yeteneğini ortaya koyuyor. ModuleInstaller ve StealerBot gibi özel kötü amaçlı yazılımların tutarlı kullanımı, meşru uygulamaların yan yükleme için zekice istismarı, SideWinder’ın gelişmiş kaçınma teknikleri ve casusluk operasyonlarına olan bağlılığını gösteriyor. Bu durum, kalıcı tehdit aktörlerinin çalışma yöntemlerini sürekli geliştirdiğinin ve güvenlik savunmalarını aşmak için yeni teknikler benimsediğinin önemli bir göstergesi olarak değerlendiriliyor.