FDMTP arka kapısının güncellenmiş bir çeşidi, Asya-Pasifik ve Japonya'daki ağları hedef alan aylarca süren bir casusluk kampanyasında gözlemlendi ve araştırmacılar, bu aktiviteyi Çin'e bağlı Mustang Panda grubuyla ilişkilendirdi.
Darktrace'in yeni analizine göre, Eylül 2025'in sonlarında birden fazla müşteri ortamı, tanınmış içerik dağıtım ağlarını (CDN'ler) taklit ederek saldırgan altyapısına istekte bulunmaya başladı ve etkinlik Nisan 2026'ya kadar devam etti.
Darktrace, kampanyanın kamuya açıklanan Mustang Panda ticari uygulamalarına uygun olduğunu orta düzeyde bir güvenle değerlendirdi, ancak tekniklerin tek bir aktöre özgü olmadığını belirtti.
Darktrace'in Twill Typhoon olarak takip ettiği grup aynı zamanda Earth Preta, Stately Taurus, Bronze President ve TA416 olarak da biliniyor.
CDN Kimliğine Bürünme ve DLL Yan Yükleme
Etkilenen ana bilgisayarlar, Yahoo ve Apple altyapısı gibi görünen alanlardan meşru yürütülebilir dosyaları, eşleşen .config dosyalarını ve kötü amaçlı DLL'leri aldı.
Nisan 2026'da finans sektöründe yaşanan bir vakada, bir uç nokta, 11 günlük bir süre boyunca eşleştirilmiş yapılandırma ve DLL bileşenlerini getirmeden önce vshost.exe ve dfsvc.exe gibi yasal ikili dosyaları çekti.
Teknik Analiz
Yandan yükleme zinciri, beklenen kitaplıklarla aynı adı taşıyan kötü amaçlı DLL'leri yükleyen meşru ikili dosyalara dayanıyordu.
Gözlemlenen bir durumda, meşru Sogou Pinyin giriş yöntemi ikili biz_render.exe'nin yanına kötü amaçlı bir tarayıcı_host.dll yerleştirildi ve yükün güvenilir bir işlem içinde yürütülmesine izin verildi.
Mustang Panda etkinliği hakkında daha fazlasını okuyun: Çinli Bilgisayar Korsanları Casusluk Kampanyalarıyla Avrupa Hükümetlerini Hedef Alıyor
Sonuç ve Değerlendirme
Kodu çözülen dizeler daha sonra .NET çalışma zamanını işlem sırasında yükledi ve bir sonraki aşamayı yönetilen bir derleme olarak doğrudan belleğe çekti.
Güncellenmiş FDMTP ve Modüler Eklentiler
Kampanyanın son aşama yükü, Darktrace'in FDMTP'nin 3.2.5.1 sürümü olarak tanımladığı, yoğun şekilde gizlenmiş bir .NET arka kapısıdır; bu araç, ilk olarak 2024 yılında Trend Micro tarafından Mustang Panda ikincil kontrol implantı olarak belgelenen bir araçtır.
Sistem Güvenliği
İletişim, küme tabanlı çözünürlük, belirteç doğrulama ve uzaktan görev için kalıcı bir mesaj döngüsü ile Çift Yönlü Mesaj Aktarım Protokolü (DMTP) kullanılarak özel TCP üzerinden çalışır.
Darktrace, çerçevede dört adet yüklenebilir eklenti belirledi: biri zamanlanmış görev oluşturmak için, biri kayıt kalıcılığı için, biri ana çerçeveyi yüklemek ve kalıcı kılmak için, diğeri ise uzaktan dosya alımı ve süreç manipülasyonu için.
Kalıcılık, HKCU\Software\Microsoft\IME altındaki zamanlanmış görevler ve kayıt defteri girişleri aracılığıyla ve yeni veriler için her beş dakikada bir icloud-cdn[.]net'i yoklayan ayrı bir güncelleme kanalı aracılığıyla korunur.
Darktrace, savunucuları tespitleri davranış dizisine bağlamaya çağırdı.
Şirket, "Altyapı dönüşümlü olarak çalışır ve yükler değişebilir, ancak yürütme modeli devam eder" diye yazdı. "Savunmacılar için bunun anlamı açık: bireysel göstergelere bağlı tespit hızlı bir şekilde zayıflayacak. Davranışsal bir diziye bağlı tespit çok daha kalıcı bir yaklaşım sunuyor."