Telegram Tabanlı Millenium RAT Kampanyası 60.000 Cihaza Bulaştı Yazılım

Telegram Tabanlı Millenium RAT Kampanyası 60.000 Cihaza Bulaştı

Millenium RAT olarak adlandırılan ucuz, Telegram kontrollü bir uzaktan erişim truva atı (RAT), çoğu 2026'nın ilk üç ayında olmak üzere 160'tan fazla ü...

Millenium RAT olarak adlandırılan ucuz, Telegram kontrollü bir uzaktan erişim truva atı (RAT), çoğu 2026'nın ilk üç ayında olmak üzere 160'tan fazla ülkede 60.000'den fazla Windows cihazına bulaştı.

Güvenlik firması Group-IB tarafından yapılan yeni analiz, kötü amaçlı yazılımın en son sürümünün .NET çerçevesinden yerel C++'a yeniden yazıldığını ve bunun da daha zayıf tespit araçlarından kaçmasına yardımcı olduğunu ortaya çıkardı.

Millenium RAT, hizmet olarak kötü amaçlı yazılım (MaaS) olarak ucuza satılıyor ve komutları almak için Telegram Bot API'sini kullanıyor, dolayısıyla operatörlerinin kendilerine ait bir sunucuya ihtiyacı yok.

Tespitten Kaçmak için Geliştirilmiş Bir Yeniden Yazma

Millenium RAT ilk olarak 2023'te bir .NET programı olarak ortaya çıktı. Şirket, dördüncü sürümün bu bağımlılığı tamamen ortadan kaldırdığını ve Telegram ile konuşmak için libcurl kütüphanesini kullanan yerel bir C++ uygulaması olarak derlendiğini söyledi.

Komutların meşru bir mesajlaşma hizmeti aracılığıyla yönlendirilmesi, kötü amaçlı yazılımın trafiğini normal ağ etkinliği arasında gizlemesine olanak tanır.

Tam bir RAT olan Millenium RAT, tarayıcılardan veri çalabilir, tuş vuruşlarını günlüğe kaydedebilir, ekran görüntüleri yakalayabilir ve ses kaydedebilir. Ayrıca diğer dosyaları indirip çalıştırabilir ve bazı komutlar dosyaları şifreleyebilir veya mavi ekranı tetikleyebilir.

Teknik Analiz

Group-IB, kötü amaçlı yazılımın hiçbir açıktan yararlanmadığını ve tamamen standart Windows işlevlerine dayandığını belirtti. Standart bir Kullanıcı Hesabı Denetimi (UAC) istemi görüntüleyerek ve kurbanın onaylamasını umarak yönetim hakları elde etmeye çalışır.

Hizmet olarak satılan RAT'lar hakkında daha fazlasını okuyun: Yeni SilabRAT Truva Atı, Kripto Çalmak İçin Oturumları Ele Geçiriyor

Ucuz Abonelikler ve Bubi Tuzaklı Yemler

Uzmanların Görüşleri

ShinyEnigma adını kullanan bir geliştiricinin Millenium RAT'ı yer altı forumlarında, GitHub'da ve özel bir web sitesi aracılığıyla sattığı, ilk ay için 50 dolar, sonrasında ayda 10 dolar veya ömür boyu erişim için 90 dolar ücret aldığı gözlemlendi.

Group-IB, kampanyaları Y2K Operatörleri olarak takip ettiği bir kümeye bağladı ve telemetrisinin yalnızca 2026'nın ilk çeyreğinde 39.730 olmak üzere 62.289 enfeksiyon saydığını söyledi.

Y2K Operatörleri sosyal mühendisliğe güvenerek truva atını oyun hileleri, crackli yazılımlar ve hackleme araçları gibi görünen bubi tuzaklı indirmeler yoluyla yayıyor.

Sonuç ve Değerlendirme

Gözlemlenen bir vakada araştırmacılar, operatörlerin aynı zamanda diğer suçluları da hedef aldığını, AsyncRAT ve XWorm gibi popüler araçlara arka kapı açarak diğer saldırganların kendilerine virüs bulaştırdığını söyledi. Kötü amaçlı yazılım yüklendikten sonra genellikle verileri dışarı sızdırmadan önce bir Windows sistem dosyası görünümüne bürünür.

Grup-IB, hâlâ yeni sürümlerin ortaya çıkmasıyla birlikte daha fazla özelliğin ve adli tıp karşıtı hilelerin gelmesini bekliyor. Firma, ucuz abonelik modelinin yetenekli bir truva atını düşük vasıflı saldırganların bile erişebileceği bir noktaya getirdiği için, kullanıcıları beklenmedik yükselme uyarılarına karşı dikkatli olmaya ve dosyaları güvenilmeyen kaynaklardan çalıştırmaktan kaçınmaya çağırdı.

Paylaş: