Çin Bağlantılı TencShell Zararlısı Küresel Bir Üreticiyi Hedef Aldı Yazılım

Çin Bağlantılı TencShell Zararlısı Küresel Bir Üreticiyi Hedef Aldı

Cato Networks araştırmacıları, Çin bağlantılı bir aktörün küresel bir üreticiye sızmak için kullandığı yeni TencShell zararlısını tespit etti.

Cato Networks’ün Siber Tehdit Araştırma Laboratuvarı (CTRL), Nisan 2026'da küresel bir üreticinin Hindistan şubesine yönelik bir sızma girişimini engellerken, Çin bağlantılı olduğu düşünülen yeni bir zararlı yazılım keşfetti. Araştırmacılar, müşteri ortamına bağlı üçüncü taraf bir kullanıcıdan gelen şüpheli trafiği tespit ederek TencShell adını verdikleri bu özel implantı ortaya çıkardı.

Saldırı zinciri, ilk aşama bir dropper, Donut shellcode, gizlenmiş bir .woff web yazı tipi kaynağı, bellek enjeksiyonu ve web benzeri komuta ve kontrol (C2) iletişimi kullanıyordu. Operasyon, açık kaynaklı Rshell C2 çerçevesinden türetilen özelleştirilmiş bir Go tabanlı implant ile hedefi enfekte etmeyi amaçlıyordu.

Orijinal Rshell çerçevesi, çapraz platform saldırı güvenliği için tasarlanmış olup uzaktan komut yürütme, dosya ve süreç yönetimi, terminal erişimi, bellek içi yük çalıştırma, çoklu C2 taşıyıcıları ve yapay zeka ajanları için kullanılan bir model bağlam protokolü (MCP) sunucusu içeriyor. Gözlemlenen sürüm ise Rshell'in daha önce belgelenmemiş bir varyantı olup, saldırganın kampanyasına uygun hale getirilmiş iletişim ve teslimat değişiklikleri içeriyordu.

Cato CTRL, bu zararlıya 'TencShell' adını verdi çünkü kabuk tarzı uzaktan kontrol yeteneklerini, Tencent web hizmeti yollarını taklit eden C2 iletişimiyle birleştiriyor. Araştırmacılar, 13 Mayıs'ta yayımladıkları teknik raporda, bu kampanyanın detaylarını ve TencShell'in nasıl çalıştığını paylaştı.

Paylaş: