Palo Alto Networks’ün Unit 42 araştırma ekibi, Çin bağlantılı bir tehdit aktörünün Güneydoğu Asya’daki devlet kurumlarını ve kritik altyapıyı hedef alan sürekli bir siber saldırı kampanyasını ortaya çıkardı. CL-STA-1062 kod adıyla takip edilen grup, en az Mart 2022’den bu yana aktif durumda. 2025 yılı boyunca gözlemlenen yeni kampanyada, özellikle Güneydoğu Asya’daki enerji ve devlet sektörlerindeki devlete ait işletmeler hedef alındı. Unit 42’nin 25 Haziran’da yayımladığı rapora göre, bu odaklanma, ‘bölgesel endüstrileri aksatma veya izleme konusunda net bir stratejik ilgi’ olduğunu ve ‘önemli jeopolitik veya ekonomik etkileri olabilecek sistemleri tehlikeye atma yönünde kasıtlı bir çaba’ olduğunu gösteriyor.
Bu kampanyada CL-STA-1062, yaygın açık kaynak araçları ile özel olarak geliştirilmiş kötü amaçlı yazılımları birleştiren hibrit bir araç seti kullandı. Sık kullanılan açık kaynak araçlar arasında güvenli iletişim için SoftEther VPN, kimlik bilgilerini toplamak için Mimikatz ve ağ geçişi için VNT yer alıyor. Ayrıca tehdit grubu, ilk kez TinyRCT adlı daha önce belgelenmemiş bir backdoor kullandı. Bu backdoor, ele geçirilen sistemler üzerinde kalıcı erişim ve kontrol sağlamak için tasarlandı. TinyRCT’nin yetenekleri arasında keyfi komut yürütme, dosya numaralandırma ve sızma, ekran görüntüsü alma ve en endişe verici olanı, saldırganların varlıklarının izlerini sistemden silmesine olanak tanıyan kendini imha mekanizması bulunuyor.
TinyRCT, normal sistem etkinliğiyle uyum sağlayarak tespit edilmekten kaçınacak şekilde gizlice çalışacak şekilde tasarlandı. Komuta ve kontrol (C2) sunucularıyla iletişim kurarak talimat alır ve verileri sızdırır; iletişimini gizlemek için şifreleme kullanır. Kendini imha özelliği, C2 sunucusundan gelen belirli bir komutla tetiklenir ve backdoor’un amacına ulaştıktan veya operasyonun tehlikeye girmesi durumunda sistemden kaldırılmasını sağlar. Unit 42 araştırmacıları, ‘TinyRCT, gizli tasarımı ve kendini imha mekanizması nedeniyle özellikle endişe verici. Bu backdoor, saldırganların tespit edilmekten kaçınırken kalıcılığı sürdürmesine ve izlerini kapatmak için gerektiğinde kendini silebilmesine olanak tanıyor’ dedi.
Sistem Güvenliği
Araştırmacılar, TinyRCT gibi özel bir backdoor’un kullanılmasının, tehdit aktörünün yüksek düzeyde karmaşıklığını ve kaynaklarını gösterdiğini ve devlet destekli veya önemli mali desteğe işaret ettiğini vurguladı. CL-STA-1062’nin, adı açıklanmayan bir Güneydoğu Asya ülkesindeki iki devlete ait enerji kuruluşu da dahil olmak üzere üç kritik altyapı kuruluşuna benzer taktiklerle saldırdığı tespit edildi. Araştırmacılar, ‘Ekim ile Aralık 2025 arasında, Güneydoğu Asya’da en az on farklı kuruluşun tehlikeye atıldığını gözlemledik’ diye ekledi. Ayrıca, bu faaliyet kümesinin, Cisco Talos tarafından UAT-7237 olarak takip edilen ve 2025 ortasında Tayvan’daki web barındırma altyapısını hedef alan kampanyalarla raporlanan grupla ‘yüksek güvenle’ aynı olduğu değerlendirildi. 2022’den bu yana Doğu Asya’daki geniş operasyonel tempo, tehdit aktörünün bölgeye sürekli ve kasıtlı bir odaklandığını gösteriyor.