Çin Dili Kullanan Siber Suç Grubu TA4922 Küresel Hedeflerini Genişletiyor Siber Güvenlik

Çin Dili Kullanan Siber Suç Grubu TA4922 Küresel Hedeflerini Genişletiyor

Çin dili kullanan siber suç grubu TA4922, Asya'dan Avrupa ve Afrika'ya yayılarak yapay zeka destekli kötü amaçlı yazılımlarla saldırılarını hızlandırı

Proofpoint'in yeni analizine göre, TA4922 olarak izlenen Çin dili kullanan siber suç grubu, faaliyetlerini Doğu Asya'dan Avrupa ve Afrika'ya genişletti. Finansal motivasyonlu olan grup, kurumsal ağlara sızarak veri hırsızlığı, dolandırıcılık ve erişim satışı yapıyor. Daha önce ağırlıklı olarak Japonya'yı hedef alırken, son dönemde Tayvan, Kore, Singapur ve Hindistan'ın yanı sıra İngiltere, Almanya, İtalya ve Güney Afrika'da da kampanyalar düzenliyor.

TA4922'nin saldırı yöntemleri oldukça çeşitli: kötü amaçlı yazılım dağıtımı, kimlik avı ve kredi kartı hırsızlığı gibi doğrudan dolandırıcılık. Grup, hedef ülkenin dilinde ve kültürüne uygun sahte e-postalar hazırlıyor; vergi daireleri, finans departmanları ve insan kaynakları birimlerini taklit ederek bordro, fatura ve İK bildirimleri temalı tuzaklar kuruyor. Ayrıca kurbanları e-postadan LINE, WhatsApp ve Microsoft Teams gibi mesajlaşma uygulamalarına yönlendirerek sosyal mühendisliği e-posta güvenliğinin dışında sürdürüyor.

Grup, araç setini hızla değiştiriyor. Son kampanyalarda yeni tespit edilen Atlas RAT arka kapısını ve RomulusLoader ile SilentRunLoader adlı iki yükleyiciyi kullanırken, ValleyRAT (Winos 4.0) gibi uzun süredir kullanılan kötü amaçlı yazılımları da elden bırakmıyor. Yükler genellikle DLL sideloading yoluyla ve tüketici dosya paylaşım hizmetlerinden aşamalı olarak yükleniyor. Proofpoint, grubun Python kötü amaçlı yazılımlarını hızla oluşturmak için büyük dil modelleri (LLM) kullandığını yüksek güvenle değerlendiriyor; kodda değiştirilmemiş bir yer tutucu anahtarın bulunması bunu doğruluyor.

Nasıl Önlem Alınmalı?

Proofpoint, TA4922'yi Silver Fox ve Void Arachne kümeleriyle aynı ekosistem içinde görse de, suç odaklı ayrı bir grup olarak nitelendiriyor. Kötü amaçlı yazılımlarındaki ses, web kamerası ve tuş kaydı gibi gözetim özellikleri, casusluk aktörleri tarafından da kullanılabilir. Şirket, kuruluşların uygulama beyaz listelemesi yapmasını, geçici kullanıcı dizinlerinden çalışan programları izlemesini ve yerel yönetici haklarını sınırlamasını öneriyor.

Paylaş: