Uzun süredir Çin bağlantılı bir tehdit aktörüne atfedilen gelişmiş bir kötü amaçlı yazılım, dört yılı aşkın bir sürenin ardından Tayvan'daki bir üretim firmasında yeniden ortaya çıktı. Daha önce rapor edilmemiş bir backdoor olan Stupig de aynı sistemde tespit edildi. Symantec ve Carbon Black Tehdit Avcılığı Ekibi tarafından yapılan son keşif, siber casusluk operasyonlarının ne kadar uzun süre gizli kalabileceğini bir kez daha gözler önüne seriyor.
Kernel modu rootkit'i olarak bilinen Daxin (srt64.sys), ilk olarak Mart 2022'de Broadcom bünyesindeki Symantec tarafından belgelenmişti. Kanıtlar, bu kötü amaçlı yazılımın 2013'ten beri hükümetleri ve kritik altyapıları hedef alan saldırılarda kullanıldığını gösteriyordu. Ancak 2026 yılında Tayvan'daki çok uluslu bir yüksek teknoloji üreticisinin yerel bir yan kuruluşuna ait bir bilgisayarda Daxin'in hala çalışır durumda olduğu tespit edildi. Aynı makinede ayrıca Stupig (a.dll veya kbdus1.dll) adlı bir backdoor da bulunuyor. Stupig'in dosya adı, meşru bir Microsoft DLL'si olan kbdus.dll'yi taklit etmeye çalışıyor.
Stupig, bilinen hiçbir kötü amaçlı yazılım ailesinde belgelenmemiş bir teknik kullanıyor. Broadcom'un siber güvenlik kolu, 'winlogon.exe tarafından yüklenen trojanize bir klavye düzeni DLL'si, saldırganın Windows oturum açma ekranından doğrudan System olarak komut çalıştırmasına olanak tanır. Bu, oturum açmadan önce ve herhangi bir oturum açma denetim olayı oluşturmadan gerçekleşir' açıklamasında bulundu. Bu teknik, güvenlik ekiplerinin genellikle izlemediği bir alanı hedef alarak saldırganlara büyük bir avantaj sağlıyor.
Saldırıyı dikkat çekici kılan bir diğer unsur ise her iki kötü amaçlı yazılımın da 2013 yılının başlarına ait derleme zaman damgaları taşıması. Oysa tehlikeye atılan makine, 12 Mayıs 2026'ya kadar telemetri bildirmeye başlamamıştı. Tehdit aktörünün uzun süreler boyunca fark edilmeden kalma yeteneği göz önüne alındığında, saldırının 13 yıl boyunca fark edilmediği tahmin ediliyor. Daxin ve Stupig arasında kod düzeyinde herhangi bir örtüşme tespit edilmemiş olsa da, aynı ana bilgisayarda birlikte kullanılmaları, tamamlayıcı işlevleri, geliştirme uygulamalarındaki benzerlikler ve 2013 derleme zaman damgaları, aynı tehdit aktörünün işi olabileceklerini gösteriyor.
Daxin, komuta ve kontrol (C2) için alışılmadık bir yaklaşıma sahip. Windows kernel modu sürücüsü backdoor, doğrudan saldırgan kontrollü altyapıya giden bağlantılar kurmak yerine, gelen TCP trafiğini belirli desenler için izler ve şifreli C2 iletişimleri için mevcut meşru bağlantıları ele geçirir. Bu sayede normal aktiviteler arasında kaynaşır. Ayrıca, internetten fiziksel olarak kopuk makinelerle etkileşime geçmek için de donatılmıştır. Broadcom, 'Bu, Daxin'i geleneksel ağ izleme ile tespit etmeyi son derece zorlaştırıyor' dedi. 'Kötü amaçlı yazılım ayrıca, enfekte ana bilgisayar zincirleri aracılığıyla çok atlamalı iletişimi destekleyerek operatörlerin izole ağ segmentlerindeki sistemlere erişmesine olanak tanıyor.'
Ana bilgisayarın tam olarak nasıl ve ne zaman tehlikeye atıldığı bilinmiyor, ancak 2009-2011 yıllarına dayanan, kullanım ömrü sona ermiş Java Development Kit (JDK) 1.5 ve 1.6 sürümlerini kullanan güncel olmayan bir Digiwin tek oturum açma (SSO) portalı olduğundan şüpheleniliyor. Stupig ise bir DLL backdoor'udur ve kalıcılığı klavye düzeni sağlayıcısı olarak kaydolarak sağlar. Bu, win32k.sys'in sistem başlangıcında DLL'yi winlogon.exe'ye yüklemesine neden olur. DLL geçerli bir KBDTABLES işaretçisi döndürerek klavye düzeninin normal şekilde çalışmasını sağlar ve yüklenen modülü inceleyen herhangi bir süreç veya yöneticiye hiçbir şey belli etmez.
Stupig, winlogon.exe içinde çalışmaya başladığında, Windows oturum açma ekranında 'stupig' ile başlayan kullanıcı adlarını arar. Kullanıcı adı girildiğinde, öneki takip eden herhangi bir dize komut olarak yorumlanır ve SYSTEM ayrıcalıklarıyla yürütülür. Önekin ardından herhangi bir komut girilmezse, oturum açma ekranında SYSTEM olarak bir komut istemi oturumu başlatır. Daxin'in 2026'da keşfedilmesi, siber casusluk operasyonunun asla tamamen durmadığını, aksine sessizleşerek hedef ağlarda gizli kalıcılığını sürdürdüğünü gösteriyor.
Önemli Gelişmeler
Bu keşif, aynı dönemde Hunt.io'nun Çin bağlantılı olduğu düşünülen bir tehdit aktörünün Anthropic Claude Code ve DeepSeek modellerini kullanarak Afganistan, Tayland, Tayvan ve ABD'deki devlet ve finans sistemlerine yönelik saldırıları otomatikleştirdiğini gözlemlemesiyle birlikte geldi. Güvenlik uzmanları, bu tür gelişmiş tehditlere karşı savunma mekanizmalarının sürekli güncellenmesi ve özellikle oturum açma süreçleri gibi göz ardı edilen alanların da izlenmesi gerektiğini vurguluyor.
Kaynak: thehackernews.com