Cato Networks’ün Siber Tehdit Araştırma Laboratuvarı (CTRL) araştırmacıları, Çin bağlantılı olduğu düşünülen bir tehdit aktörü tarafından kullanılan, daha önce belgelenmemiş bir kötü amaçlı yazılım implantı tespit etti. Bu keşif, Nisan 2026'da küresel bir üreticinin Hindistan şubesine yönelik bir izinsiz giriş girişimine müdahale edilirken yapıldı. Cato CTRL ekibi, saldırıyı engellemeyi başarsa da, müşteri ortamına bağlı bir üçüncü taraf kullanıcıyla ilişkili şüpheli trafik tespit etti.
Saldırı zinciri, ilk aşama bir dropper, Donut shellcode, gizlenmiş bir .woff web yazı tipi kaynağı, bellek enjeksiyonu ve web benzeri komuta ve kontrol (C2) iletişimi kullandı. Operasyon, hedefi açık kaynaklı Rshell C2 çerçevesinden türetilmiş, özelleştirilmiş Go tabanlı bir implantla enfekte etmeyi amaçlıyordu.
Orijinal Rshell çerçevesi, çapraz platform saldırı güvenliği için tasarlanmış olup uzaktan komut yürütme, dosya ve süreç yönetimi, terminal erişimi, bellek içi yük yürütme, birden çok C2 taşıyıcı ve bir model bağlam protokolü (MCP) sunucusu içeriyor. MCP sunucusu, özellikle AI ajan iletişimleri ve operasyonları için kullanılıyor.
Gözlemlenen sürüm, Rshell'in belgelenmemiş bir varyantı olup bu operasyon için özelleştirilmiş ve yeniden paketlenmiş. Araştırmacılar, 13 Mayıs tarihli bir raporda, 'iletişim ve dağıtım değişiklikleri, onu saldırganın kampanyasına daha uygun hale getirdi' dedi. Cato CTRL, bu implanta 'TencShell' adını verdi çünkü shell tarzı uzaktan kumanda yeteneklerini, Tencent benzeri web hizmeti yollarını taklit eden C2 iletişimiyle birleştiriyor.
TencShell, Go programlama diliyle yazıldığı için Windows, Linux ve macOS dahil olmak üzere birden çok platformda çalışabiliyor. Bu, saldırganların hedef ağda daha geniş bir erişim elde etmesini sağlıyor. Ayrıca, web benzeri C2 iletişimi kullanması, trafiğin meşru web trafiği gibi görünmesini sağlayarak güvenlik duvarlarını ve izleme sistemlerini atlatmasına yardımcı oluyor.
Gelecekte Ne Bekleniyor?
Cato Networks araştırmacıları, TencShell'in keşfinin, tehdit aktörlerinin sürekli olarak yeni teknikler geliştirdiğini gösterdiğini belirtiyor. Kuruluşların, özellikle tedarik zinciri saldırılarına karşı dikkatli olmaları ve ağ trafiğini anormallikler açısından izlemeleri öneriliyor. Ayrıca, üçüncü taraf erişimlerinin sıkı bir şekilde kontrol edilmesi ve çok faktörlü kimlik doğrulama gibi güvenlik önlemlerinin uygulanması kritik önem taşıyor.
Kaynak: infosecurity-magazine.com