Taiwan'da 13 Yıldır Fark Edilmeyen Gizli Siber Casusluk: Daxin Rootkit'i ve Stupig Backdoor'u Yazılım

Taiwan'da 13 Yıldır Fark Edilmeyen Gizli Siber Casusluk: Daxin Rootkit'i ve Stupig Backdoor'u

Çin bağlantılı Daxin rootkit'i, Taiwan'da 13 yıl boyunca fark edilmeden kaldı. Stupig backdoor'u ile Windows oturum açma ekranından SYSTEM yetkisiyle

Siber güvenlik dünyasında nadir görülen bir olay: Çin bağlantılı bir tehdit aktörüne atfedilen gelişmiş bir kötü amaçlı yazılım, dört yılı aşkın bir süre sonra yeniden ortaya çıktı. Broadcom bünyesindeki Symantec ve Carbon Black Tehdit Avcılığı Ekibi, Daxin adlı kernel-mode rootkit'in Taiwan merkezli bir üretim firmasında hâlâ aktif olduğunu tespit etti. Aynı makinede daha önce bilinmeyen Stupig adlı bir backdoor da bulundu. Bu keşif, siber casusluk operasyonlarının ne kadar uzun süre gizli kalabileceğini gözler önüne seriyor.

Daxin (srt64.sys olarak da bilinir), ilk kez Mart 2022'de Symantec tarafından belgelenmişti. Araştırmalar, bu rootkit'in 2013'ten beri hükümetleri ve kritik altyapıları hedef alan saldırılarda kullanıldığını gösteriyordu. En son bulgular ise Daxin'in hâlâ işlevsel olduğunu ve Taiwan'daki bir yüksek teknoloji üreticisinin yan kuruluşunda çalıştığını ortaya koyuyor. Aynı makinede bulunan Stupig (a.dll veya kbdus1.dll), kendini meşru bir Microsoft DLL'si olan kbdus.dll olarak gizliyor.

Stupig, daha önce hiçbir kötü amaçlı yazılım ailesinde belgelenmemiş bir teknik kullanıyor. winlogon.exe tarafından yüklenen trojanize edilmiş bir klavye düzeni DLL'si, saldırganın Windows oturum açma ekranından, kimse giriş yapmadan ve herhangi bir denetim günlüğü oluşturmadan SYSTEM yetkisiyle komut çalıştırmasına olanak tanıyor. Bu, güvenlik ekiplerinin genellikle izlemediği bir saldırı yüzeyi oluşturuyor.

Sonuç ve Değerlendirme

Her iki araç da 2013'ün başlarından kalma derleme zaman damgaları taşıyor, ancak tehlikeye atılan makine 2026'ya kadar telemetri bildirmeye başlamadı. Bu da saldırının 13 yıl boyunca fark edilmeden kaldığını düşündürüyor. Daxin ve Stupig arasında kod düzeyinde bir örtüşme tespit edilmemiş olsa da, aynı makinede birlikte bulunmaları, tamamlayıcı işlevleri ve benzer geliştirme pratikleri, aynı tehdit aktörünün işi olabileceğini gösteriyor.

Daxin, komuta ve kontrol (C2) için alışılmadık bir yaklaşım benimsiyor. Doğrudan saldırganın altyapısına bağlantı kurmak yerine, gelen TCP trafiğini belirli desenler için izliyor ve mevcut meşru bağlantıları ele geçirerek şifreli C2 iletişimi gerçekleştiriyor. Bu sayede normal ağ aktivitelerine karışıyor. Ayrıca, internetten fiziksel olarak kopuk makinelerle etkileşime geçebiliyor ve enfekte ana bilgisayarlar zinciri üzerinden çoklu atlama iletişimini destekliyor.

Tehlikeye atılmanın tam olarak nasıl ve ne zaman gerçekleştiği bilinmiyor, ancak şüpheler, 2009-2011 arasına tarihlenen eski Java Development Kit (JDK) 1.5 ve 1.6 sürümlerini kullanan, güncellenmemiş bir Digiwin tek oturum açma (SSO) portalına yöneliyor. Stupig, bir klavye düzeni sağlayıcısı olarak kaydolarak kalıcılık sağlıyor ve win32k.sys tarafından sistem başlangıcında winlogon.exe'ye yükleniyor. DLL geçerli bir KBDTABLES işaretçisi döndürdüğü için klavye düzeni normal şekilde çalışıyor ve yöneticiler tarafından fark edilmiyor.

Stupig, winlogon.exe içinde çalışırken, Windows oturum açma ekranında 'stupig' ile başlayan kullanıcı adlarını arıyor. Bu öneki giren herhangi bir kullanıcı, ardından gelen metni bir komut olarak yorumluyor ve SYSTEM yetkisiyle çalıştırıyor. Eğer önekten sonra komut girilmezse, oturum açma ekranında SYSTEM olarak bir komut istemi açılıyor. Bu yöntem, kurumsal ağlarda genellikle göz ardı edilen bir güvenlik açığı oluşturuyor.

Sistem Güvenliği

Daxin'in 2026'da keşfedilmesi, siber casusluk operasyonunun hiçbir zaman tamamen durmadığını, sadece sessizleştiğini gösteriyor. Symantec ve Carbon Black, bu tür tehditlerin farkında olunması ve izlenmesi gerektiğini vurguluyor. Aynı dönemde Hunt.io, Çin bağlantılı bir tehdit aktörünün Anthropic Claude Code ve DeepSeek modellerini kullanarak otomatikleştirilmiş saldırılar düzenlediğini bildirdi. Bu gelişmeler, siber güvenlik dünyasında yapay zeka destekli saldırıların arttığını ve savunma mekanizmalarının sürekli güncellenmesi gerektiğini ortaya koyuyor.

Kaynak: thehackernews.com

Paylaş: