Mustang Panda'nın Güncellenmiş FDMTP Backdoor'u Asya-Pasifik Casusluk Kampanyasında Kullanılıyor Yazılım

Mustang Panda'nın Güncellenmiş FDMTP Backdoor'u Asya-Pasifik Casusluk Kampanyasında Kullanılıyor

Mustang Panda grubu, aylarca süren bir casusluk kampanyasında güncellenmiş FDMTP backdoor'unu kullanarak Asya-Pasifik ve Japonya'daki ağları hedef ald

Darktrace araştırmacıları, Eylül 2025'ten Nisan 2026'ya kadar süren bir siber casusluk kampanyasında, Mustang Panda olarak da bilinen Çin bağlantılı tehdit aktörü Twill Typhoon'un güncellenmiş bir FDMTP backdoor varyantını kullandığını tespit etti. Kampanya, Asya-Pasifik ve Japonya'daki ağları hedef alırken, saldırganlar birden fazla müşteri ortamında tanınmış içerik dağıtım ağlarını (CDN) taklit eden altyapılara istekler gönderdi.

Darktrace, kampanyanın Mustang Panda'nın bilinen taktik, teknik ve prosedürleriyle (TTP) orta düzeyde güvenle uyumlu olduğunu değerlendirdi. Ancak araştırmacılar, bu tekniklerin tek bir aktöre özgü olmadığını da vurguladı. Mustang Panda, Earth Preta, Stately Taurus, Bronze President ve TA416 gibi farklı isimlerle de biliniyor.

Saldırıda, etkilenen ana bilgisayarlar Yahoo ve Apple altyapısını taklit eden alan adlarından meşru yürütülebilir dosyalar, .config dosyaları ve kötü amaçlı DLL'ler indirdi. Örneğin, Nisan 2026'daki bir finans sektörü vakasında, bir uç nokta vshost.exe ve dfsvc.exe gibi meşru ikili dosyaları indirdikten sonra 11 günlük bir süreçte eşleştirilmiş yapılandırma ve DLL bileşenlerini çekti. DLL sideloading zinciri, meşru ikili dosyaların beklenen kitaplıklarıyla aynı adı taşıyan kötü amaçlı DLL'leri yüklemesine dayanıyordu.

Sistem Güvenliği

Gözlemlenen bir vakada, meşru Sogou Pinyin giriş yöntemi ikili dosyası biz_render.exe'nin yanına kötü amaçlı bir browser_host.dll yerleştirildi. Bu, yükün güvenilir bir işlem içinde çalışmasına olanak sağladı. Decode edilen dizeler ardından .NET runtime'ı süreç içinde yükleyerek bir sonraki aşamayı doğrudan belleğe yönetilen bir derleme olarak çekti.

Teknik Analiz

Kampanyanın son aşama yükü, Darktrace'in FDMTP'nin 3.2.5.1 sürümü olarak tanımladığı, yoğun şekilde obfuscate edilmiş bir .NET backdoor'udur. FDMTP, ilk olarak Trend Micro tarafından 2024 yılında Mustang Panda'nın ikincil kontrol implantı olarak belgelenmişti. İletişim, Duplex Message Transport Protocol (DMTP) kullanılarak özel TCP üzerinden gerçekleşiyor ve küme tabanlı çözümleme, token doğrulama ve uzaktan görevlendirme için kalıcı bir mesaj döngüsü içeriyor.

Darktrace, çerçevede dört yüklenebilir eklenti tespit etti: zamanlanmış görev oluşturma, kayıt defteri kalıcılığı, ana çerçeveyi yükleme ve kalıcı kılma ile uzaktan dosya alma ve işlem manipülasyonu. Kalıcılık, HKCU\Software\Microsoft\IME altındaki zamanlanmış görevler ve kayıt defteri girdileriyle sağlanırken, her beş dakikada bir icloud-cdn[.]net adresini yoklayan ayrı bir güncelleme kanalı da bulunuyor.

Darktrace, savunmacıları tespiti davranışsal diziye dayandırmaya çağırdı. Şirket, 'Altyapı döner ve yükler değişebilir, ancak yürütme modeli kalıcıdır. Savunmacılar için çıkarım açıktır: Bireysel göstergelere dayalı tespit hızla bozulacaktır. Davranışsal bir diziye dayalı tespit ise çok daha dayanıklı bir yaklaşım sunar' ifadelerini kullandı.

Kaynak: infosecurity-magazine.com

Paylaş: