Cato Networks'ün Siber Tehdit Araştırma Laboratuvarı'ndaki (CTRL) araştırmacılar, Çin bağlantılı bir aktörle ilişkili olduğundan şüphelenilen belgelenmemiş bir kötü amaçlı yazılım implantasyonunu tespit etti.
Keşif, Nisan 2026'da birden fazla bölgesel tesise sahip isimsiz bir küresel üretim müşterisinin Hindistan şubesini etkileyen bir izinsiz giriş girişimine yanıt verdiklerinde yapıldı.
Cato CTRL ekibi izinsiz girişi engellemeyi başarırken aynı zamanda müşteri ortamına bağlı üçüncü taraf bir kullanıcıyla ilişkili şüpheli trafiği de tespit etti.
Uzmanların Görüşleri
Saldırı zincirinde birinci aşama bir damlalık, Donut kabuk kodu, maskelenmiş bir .woff web yazı tipi kaynağı, bellek enjeksiyonu ve web benzeri komuta ve kontrol (C2) iletişimi kullanıldı.
Gelecekte Ne Bekleniyor?
Operasyonda hedefe açık kaynaklı Rshell C2 çerçevesinden türetilen özelleştirilmiş Go tabanlı bir implantın bulaştırılması amaçlandı.
Detaylar ve Etkileri
Platformlar arası saldırı güvenliği kullanımı için tasarlanan orijinal Rshell çerçevesi, uzaktan komut yürütme, dosya ve süreç yönetimi, terminal erişimi, bellek içi yük yürütme, çoklu C2 aktarımları ve özellikle yapay zeka aracı iletişimleri ve operasyonları için kullanılan bir model içerik protokolü (MCP) sunucusunu içerir.
Araştırmacılar, kampanyayla ilgili teknik ayrıntıları paylaştıkları 13 Mayıs tarihli bir raporda, gözlemlenen sürümün, Rshell'in belgelenmemiş bir çeşidi olduğunu, bu operasyon için özelleştirilmiş ve yeniden paketlendiğini, "saldırganın kampanyası için daha uygun hale getiren iletişim ve dağıtım değişiklikleriyle" açıkladı.
Sistem Güvenliği
Cato CTRL, kabuk tarzı uzaktan kontrol özelliklerini Tencent benzeri web hizmeti yollarını taklit eden C2 iletişimiyle birleştirdiği için implanta 'TencShell' adını verdi.