Cato Networks’ün Siber Tehdit Araştırma Laboratuvarı (CTRL) araştırmacıları, Çin bağlantılı bir aktörle ilişkilendirilen daha önce belgelenmemiş bir kötü amaçlı yazılım implantı keşfetti. Keşif, Nisan 2026'da, adı açıklanmayan küresel bir üretici müşterisinin Hindistan şubesini etkileyen bir izinsiz giriş girişimine yanıt verirken yapıldı. Cato CTRL ekibi, saldırıyı engellemeyi başarırken, müşteri ortamına bağlı üçüncü taraf bir kullanıcıyla ilişkili şüpheli trafik tespit etti.
Saldırı zinciri, ilk aşama bir bırakıcı (dropper), Donut shellcode, gizlenmiş bir .woff web yazı tipi kaynağı, bellek enjeksiyonu ve web benzeri komuta ve kontrol (C2) iletişimi kullandı. Operasyon, hedefe, açık kaynaklı Rshell C2 çerçevesinden türetilmiş özelleştirilmiş bir Go tabanlı implant bulaştırmayı amaçlıyordu. Orijinal Rshell çerçevesi, platformlar arası saldırı güvenliği kullanımı için tasarlanmış olup, uzaktan komut yürütme, dosya ve süreç yönetimi, terminal erişimi, bellek içi yük yürütme, birden çok C2 taşıyıcı ve özellikle AI aracı iletişimleri ve operasyonları için kullanılan bir model bağlam protokolü (MCP) sunucusu içerir.
Gözlemlenen sürüm, Rshell'in belgelenmemiş bir varyantıdır ve bu operasyon için özelleştirilip yeniden paketlenmiştir. Araştırmacılar, 13 Mayıs tarihli bir raporda, 'iletişim ve dağıtımdaki değişikliklerin, onu saldırganın kampanyası için daha uygun hale getirdiğini' belirtti. Cato CTRL, bu implanta 'TencShell' adını verdi çünkü shell tarzı uzaktan kumanda yeteneklerini, Tencent benzeri web hizmeti yollarını taklit eden C2 iletişimiyle birleştiriyor.
TencShell'in keşfi, Çin bağlantılı tehdit aktörlerinin sürekli olarak yeni teknikler geliştirdiğini gösteriyor. Özellikle, Rshell gibi açık kaynaklı çerçevelerin kullanılması, tespit edilmeyi zorlaştırıyor ve saldırganlara esneklik sağlıyor. Bu tür araçlar, genellikle güvenlik araştırmacıları ve pentesterlar tarafından kullanılsa da, kötü niyetli aktörler tarafından da kolayca uyarlanabiliyor. TencShell, web benzeri C2 iletişimi sayesinde normal web trafiği arasında gizlenebiliyor, bu da geleneksel ağ izleme araçları tarafından tespit edilmesini zorlaştırıyor.
Saldırının hedefi olan küresel üreticinin Hindistan şubesi, muhtemelen endüstriyel casusluk veya tedarik zinciri saldırıları için bir giriş noktası olarak seçilmiş olabilir. Üreticiler, genellikle değerli fikri mülkiyet ve hassas verilere sahip oldukları için yüksek değerli hedeflerdir. Bu olay, şirketlerin özellikle gelişmekte olan pazarlardaki yan kuruluşlarını korumak için siber güvenlik önlemlerini güçlendirmeleri gerektiğini vurguluyor.
Kuruluşlar, bu tür tehditlere karşı korunmak için çok katmanlı bir güvenlik stratejisi benimsemelidir. Ağ trafiğinin düzenli olarak izlenmesi, uç nokta tespit ve yanıt (EDR) çözümlerinin kullanılması, ve çalışanların sosyal mühendislik saldırılarına karşı eğitilmesi kritik öneme sahiptir. Ayrıca, açık kaynaklı araçların kötüye kullanımını tespit etmek için tehdit istihbaratı kaynaklarından yararlanılmalı ve güvenlik açıkları hızlı bir şekilde kapatılmalıdır. TencShell gibi gelişmiş tehditler, sürekli dikkat ve güncel savunma mekanizmaları gerektirir.
Kaynak: infosecurity-magazine.com