Taiwan’da Gizli Kalabilen Daxin ve Stupig Sistemine Dair Kritik Siber Casusluk Analizi

Anasayfa » Taiwan’da Gizli Kalabilen Daxin ve Stupig Sistemine Dair Kritik Siber Casusluk Analizi
Taiwan’da Gizli Kalabilen Daxin ve Stupig Sistemine Dair Kritik Siber Casusluk Analizi

Uzun yıllardır gölgelerde varlığını sürdüren Daxin adlı kernel mod rootkit, 2026 yılında Tayvan’da halen aktif şekilde çalışırken tespit edildi. Aynı hedefte ayrıca Stupig isimli nadir rastlanan bir pre-login arka kapı da bulundu. Bu gelişme, 2013’ten beri hedef alınan kritik altyapı ve devlet kurumlarına yönelik siber casusluk operasyonlarının hiç sona ermediğini gösteriyor.

Saldırının İzleri ve Teknik Özellikleri

Daxin (“srt64.sys”), ilk kez 2022’de belgelenmiş, kurbanların çoğunlukla hükümet ve kritik altyapı olduğu bir kernel mod rootkit olarak biliniyor. İlginç olan, bu zararlı doğrudan dışarıya bağlantı kurmak yerine, sistemdeki gelen TCP trafiğini gözetleyip meşru bağlantıları ele geçirerek şifreli komuta kontrol (C2) trafiği oluşturuyor. Böylece ağdaki sıradan aktivitelere karışarak tespit edilmesi zorlaşıyor. Dahası, internete bağlı olmayan makinelerle bile haberleşme yeteneği bulunuyor.

Tayvan’da ele geçirilen sistem, çokuluslu bir yüksek teknoloji üreticisine ait bir yan kuruluşun bilgisayarı. Bu makinede Daxin’in yanı sıra Stupig adlı, Windows oturum açma ekranı öncesinde çalışan ve klavye düzeni DLL’si gibi davranarak kötü niyetli komutlar çalıştıran başka bir arka kapı da aktifti. Stupig, “kbdus1.dll” veya “a.dll” olarak gizlenmiş ve Microsoft’un ABD İngilizcesi klavye düzeni dosyası “kbdus.dll” adına benzerlik göstererek fark edilmemeye çalışıyor.

13 Yıllık Sessizlik ve Saldırı Zincirinin Derinliği

Her iki zararlının derleme tarihleri 2013 başlarına ait, ancak sistemin telemetri raporlaması 2026 Mayıs’ta başladı. Bu durum saldırganların uzun süre fark edilmeden hareket edebildiğinin kanıtı. Aynı makinede eş zamanlı bulunmaları, işlevsel olarak birbirlerini tamamlamaları ve geliştirme yöntemlerindeki benzerlikler, tek bir tehdit aktörünün eseri olabileceğine işaret ediyor.

Stupig arka kapısı, “winlogon.exe” süreci içinde klavye düzeni sağlayıcısı olarak yükleniyor ve oturum açmadan önce kullanıcının girdiği “stupig” ile başlayan kullanıcı adlarını algılayarak, takip eden metni SYSTEM yetkisiyle komut olarak çalıştırıyor. Komut girilmezse SYSTEM yetkisiyle komut istemcisini açıyor. Bu teknik, geleneksel oturum açma denetimlerini atlatmakta kullanılıyor.

Risk Altındaki Sistemler ve Olası Saldırı Senaryosu

Ele geçirilen bilgisayarın güncel olmayan Digiwin tek oturum açma (SSO) portalının eski Java Development Kit (JDK) sürümleri (1.5 ve 1.6) kullanması, zafiyetin başlangıç noktası olabilir. Bu tarz eski bileşenler, bilinen birçok güvenlik açığına kapı aralıyor.

Bu tür saldırılar, özellikle kritik altyapılar ve yüksek teknoloji üreticileri için büyük tehdit oluşturuyor. Daxin’in multi-hop yapısı sayesinde saldırganlar, izole edilmiş ağ segmentlerine dahi ulaşabiliyor. Kurumsal ortamlar için ağ segmentasyonu ve güçlü EDR çözümleri olmazsa olmaz hâle geliyor.

Yapay Zeka Destekli Saldırı Otomasyonu ve Tehdit Aktörleri

Son raporlar, Çin bağlantılı bir tehdit grubunun, hükümet ve finans sektörlerinde Anthropic Claude Code ve DeepSeek modellerini kullanarak saldırı otomasyonu yaptığını gösteriyor. Bu yapay zekâ destekli araçlar, kimlik avı sayfaları hazırlama, komut yürütme, kalıcılık sağlama ve saldırı mantığını yönetme konusunda kullanılıyor. Böylece saldırılar hız kazanırken, karmaşık ve sürekli evrilen tehdit senaryoları ortaya çıkıyor.

Güvenlik Uzmanları İçin Öneriler

Bu tür gelişmeler, özellikle olay müdahale ve ağ segmentasyonu stratejilerinin önemini artırıyor. Sistem yöneticileri, eski yazılım bileşenlerini güncel tutmalı, kernel mod rootkit tespiti için gelişmiş EDR çözümlerini devreye almalı ve e-posta güvenliği ile kimlik avı denemelerine karşı dikkatli olmalı.

Özetle, uzun süre gizlenebilen ve gelişmiş tekniklerle donatılmış bu zararlılarla mücadelede, çok katmanlı savunma ve sürekli izleme hayati önem taşıyor.