Çince konuşan gelişmiş kalıcı tehdit (APT) aktörü, Güneydoğu Asya'daki devlet kurumlarını ve kritik altyapıyı hedef alan siber saldırıların bir parçası olarak TinyRCT adı verilen yeni bir özel arka kapıya bağlandı.
Özellikle enerji ve devlet sektörlerindeki devlete ait işletmeleri hedef alan faaliyet, CL-STA-1062 adlı bir tehdit aktörüne atfedildi. Palo Alto Networks Birim 42'nin söylediğine göre bu aktör, Tayvan'daki web altyapısı kuruluşlarına yönelik bir kampanyayla ilgili olarak ilk kez Ağustos 2025'te Cisco Talos tarafından işaretlenen bir bilgisayar korsanlığı grubu olan UAT-7237 ile örtüşüyor.
Birim 42, Mart 2022'den bu yana Doğu Asya'daki stratejik sektörleri hedef alan önceki operasyonlarda CL-STA-1062 kampanyalarını da gözlemlediğini ve bunun bölgede daha geniş ancak sürekli bir odaklanmaya işaret ettiğini söyledi.
Birim 42, teknik raporunda "Teknik açıdan bakıldığında, CL-STA-1062'nin arkasındaki saldırganlar hibrit bir araç setine güveniyor" dedi. "SoftEther VPN, Mimikatz ve VNT gibi yaygın açık kaynak araçlarını sıklıkla kullanıyor olsalar da, yakın zamanda özel, daha önce belgelenmemiş bir arka kapı olan TinyRCT'yi tanıttılar."
TinyRCT, rastgele komutları çalıştıracak, dosyaları numaralandıracak ve dışarı çıkaracak, cihazın ekranını yakalayacak ve kendisini tehlikeye atılmış ana bilgisayardan silecek donanıma sahiptir.
Eylül 2025'te tespit edilen bir kampanyada, tehdit aktörünün bir Güneydoğu Asya hükümet kuruluşuna sızdığı ve bir MS SQL sunucusundan veri sızdırmak için bir web kabuğu kullandığı söyleniyor. Aynı saldırı sırasında tehdit aktörlerinin aynı ülkedeki ayrı bir devlet kurumuna yönelik ağ keşifleri yaptığı da tespit edildi.
Birim 42, "Bu, yanal hareket fırsatlarını belirleme ve erişimlerini genişletme çabasına işaret ediyor. Bir vakada, saldırganın, web sunucusu kaynak kodu dizininin tamamını devlet kurumundan sahnelediğini ve sızdırdığını gözlemledik" dedi ve Ekim ve Aralık 2025 arasında Güneydoğu Asya'da en az 10 farklı kuruluşun ihlalini tespit ettiğini ekledi.
CL-STA-1062, en azından 2025'in ortalarından bu yana, bölgedeki birden fazla varlığı güvenlik açıklarına karşı tarayarak ve ardından ASPX web kabukları aracılığıyla, etkilenen ağlardan saldırgan kontrolündeki altyapıya ilk keşif ve giden istekleri kolaylaştıran ve ek yüklerin konuşlandırılmasına yol açan bir dayanak noktası oluşturarak, gözünü kritik altyapı üzerinde eğitti.
Buna, Yuze (SOCKS5 proxy'si) ve VNT (VPN) gibi açık kaynaklı yardımcı programlar da dahil olmak üzere grubun araç setini içeren SoftEther VPN bileşenleri ve RAR arşivleri dahildir; bunlar genellikle bunları VMware yürütülebilir dosyaları veya bir XDR aracısı (örneğin, "XDRAgent.exe", "vmtools.exe" ve "vmwared.exe") olarak gizler.
Kampanyanın altyapısının daha ayrıntılı analizi, TinyRCT ("PerfWatson2.exe") olarak adlandırılan daha önce belgelenmemiş bir .NET arka kapısının keşfedilmesine yol açmıştır; bu, sistem keşif, komut yürütme, dosya yükleme, ekran görüntüsü yakalama, uzaktan kontrol ve kendi izlerini silme olanağı sağlayan hafif bir uzaktan erişim truva atı olup, aynı zamanda korumalı alanlarda çalışmayı önlemek için adımlar atmaktadır.
HTTP üzerinden uzak bir sunucuyla ("45.32.113[.]172") kalıcı bir iletişim kanalı kurar, ancak değiştirilen verileri CBC modunda AES-128 şifrelemesini kullanarak şifreler.
Birim 42, "Kötü amaçlı yazılım, istekler arasında varsayılan 10 saniyelik uyku aralığına sahip bir işaret modeli üzerinde çalışıyor" diye açıkladı. "POST istekleri yoluyla sızdırılmış verileri gönderirken, GET isteklerini kullanan talimatlar için C2 sunucusunu yoklar."
TinyRCT'nin nasıl teslim edildiğine gelince, meşru bir yürütülebilir dosya ("chrome_setup.exe"), bir yapılandırma dosyası ("chrome_setup.exe.config") ve kötü amaçlı DLL'yi yüklemek için bir AppDomainManager enjeksiyon saldırısını tetiklemek için kullanılan sahte bir DLL ("MyAppDomainManager.dll") içeren ve "chrome_setup.zip" adlı kötü amaçlı bir arşiv biçimini alır; bu dosya, bağlantı kurarak indirici olarak işlev görür. "PerfWatson2.exe"yi almak için "139.180.134[.]221".
"Bu etkinlik kümesinde gözlemlenen araçların kombinasyonu, araç seçimi ve saldırı yeteneklerine yönelik pragmatik bir yaklaşımı yansıtıyor
Birim 42 şu sonuca vardı: "Bu kümenin arkasındaki saldırganlar, yanal hareketi kolaylaştırmak için SoftEther VPN ve VNT gibi ortak açık kaynak araçlarından yararlanmaya devam ediyor."
"Saldırganların altyapısında TinyRCT arka kapısını keşfetmemiz, saldırganların belirli yetenekler kazanmak için araçları özelleştirme yeteneklerinin altını çiziyor. Kritik altyapının hedef alınması ve özel kötü amaçlı yazılımların geliştirilmesinin birleşimi, CL-STA-1062 etkinliğinin bölge için tehdit oluşturmaya devam edeceğini gösteriyor."