Siber güvenlik firması Group-IB'in yeni analizine göre, Telegram üzerinden kontrol edilen Millenium RAT adlı uzaktan erişim truva atı (RAT), 2026 yılının ilk üç ayında 160'tan fazla ülkede 60.000'den fazla Windows cihazını enfekte etti. Kötü amaçlı yazılımın en son sürümü, .NET altyapısından yerel C++'a yeniden yazılarak zayıf algılama araçlarından kaçacak şekilde güçlendirildi.
Millenium RAT, malware-as-a-service (MaaS) modeliyle oldukça düşük bir fiyata satılıyor ve Telegram Bot API'si üzerinden komut alıyor. Bu sayede operatörlerin kendi sunucularına ihtiyacı kalmıyor. Group-IB, bu kampanyayı Y2K Operatörleri olarak izlediği bir kümeye atfediyor ve telemetri verilerine göre toplam 62.289 enfeksiyon tespit edildiğini, bunların 39.730'unun yalnızca 2026'nın ilk çeyreğinde gerçekleştiğini belirtiyor.
Millenium RAT ilk olarak 2023 yılında .NET tabanlı bir program olarak ortaya çıktı. Dördüncü sürümüyle birlikte bu bağımlılıktan tamamen kurtulan yazılım, Telegram ile iletişim için libcurl kütüphanesini kullanan yerel bir C++ uygulaması haline geldi. Komutları meşru bir mesajlaşma hizmeti üzerinden yönlendirmek, kötü amaçlı yazılımın trafiğini normal ağ aktiviteleri arasında gizlemesine olanak tanıyor.
Tam teşekküllü bir RAT olan Millenium RAT, tarayıcılardan veri çalma, tuş kaydı yapma, ekran görüntüsü alma ve ses kaydetme gibi yeteneklere sahip. Ayrıca diğer dosyaları indirip çalıştırabiliyor; bazı komutlar dosyaları şifreleyebiliyor veya mavi ekran hatası oluşturabiliyor. Group-IB, kötü amaçlı yazılımın herhangi bir açıklık kullanmadığını, tamamen standart Windows işlevlerine dayandığını belirtiyor. Yönetici hakları elde etmek için standart bir UAC istemi göstererek kurbanın onay vermesini umuyor.
ShinyEnigma rumuzlu bir geliştirici, Millenium RAT'ı yeraltı forumlarında, GitHub'da ve özel bir web sitesinde satışa sunuyor. Fiyatlandırma oldukça düşük: ilk ay için 50 dolar, sonraki aylar için 10 dolar veya ömür boyu erişim için 90 dolar. Y2K Operatörleri, sosyal mühendislik yöntemlerini kullanarak truva atını oyun hileleri, kırık yazılımlar ve hack araçları gibi tuzaklı indirmelerle yayıyor. Araştırmacılar, operatörlerin aynı zamanda diğer siber suçluları da hedef aldığını, AsyncRAT ve XWorm gibi popüler araçları arka kapıyla donatarak diğer saldırganların kendilerini enfekte etmelerini sağladığını gözlemledi.
Önemli Gelişmeler
Group-IB, yeni sürümlerin ortaya çıkmaya devam etmesiyle birlikte daha fazla özellik ve adli bilişim karşıtı taktiğin ekleneceğini öngörüyor. Firma, kullanıcıları beklenmedik yükseltme istemlerine karşı dikkatli olmaları ve güvenilmeyen kaynaklardan dosya çalıştırmaktan kaçınmaları konusunda uyarıyor. Düşük abonelik ücreti, bu yetenekli truva atını düşük becerili saldırganların bile erişimine açık hale getiriyor.
Kaynak: infosecurity-magazine.com