Çin APT Grubu I-SOON Hükümet ve STK Hedeflerine Saldırıyor

21.03.2025

Son dönem siber güvenlik araştırmaları, “FishMonger” olarak adlandırılan gelişmiş bir tehdit aktörünü ortaya çıkardı. Bu grubun, devlet destekli siber casusluk faaliyetleriyle bağlantılı olduğu iddia edilen Çinli şirket I-SOON’un çatısı altında faaliyet gösterdiği düşünülüyor. FishMonger, en az 2021’den bu yana Güneydoğu Asya ve Avrupa’daki hükümet kurumlarını ve sivil toplum kuruluşlarını hedef alıyor.

FishMonger, hedeflerine yönelik özel hazırlanmış kimlik avı kampanyaları ve hassas diplomatik ile politika odaklı bilgileri çalmak için tasarlanmış özel kötü amaçlı yazılımlar kullanarak son derece sofistike saldırı teknikleri uyguluyor. Grubun operasyonlarının, özellikle Güney Çin Denizi’ndeki toprak anlaşmazlıklarıyla ilgili kuruluşlar ve bölgedeki insan hakları izleme gruplarını hedef alarak Çin’in stratejik çıkarlarıyla örtüştüğü görülüyor.

Saldırı zincirlerinin temel unsurlarından biri, Microsoft Office belgelerinde şablon enjeksiyonu kullanımı ve “SilentBreeze” adlı özel bir arka kapıdır. Bu kötü amaçlı yazılım, şifrelenmiş kanallar aracılığıyla komuta ve kontrol iletişimi kurarak sistemlere uzun süreli erişim sağlıyor. FishMonger ayrıca güvenlik önlemlerinden kaçınmak için sürekli olarak araç setini güncelleyerek gelişmiş saklanma teknikleri kullanıyor.

Grubun saldırıları genellikle, hedeflenen kurumlara özel hazırlanmış kötü amaçlı belgeler içeren mızrak kimlik avı e-postalarıyla başlıyor. Açıldığında, bu belgeler güvenlik açıklarından yararlanarak veya sosyal mühendislik teknikleri kullanarak çok aşamalı bir enfeksiyon sürecini tetikliyor. SilentBreeze, devamlılığını sağlamak için zamanlanmış görevler oluşturarak kötü amaçlı PowerShell komutları çalıştırıyor ve saldırganların uzaktan erişimini mümkün kılan ek zararlı yazılımlar indiriyor.

FishMonger, tespit edilmekten kaçınmak için genellikle ele geçirilmiş üçüncü taraf web sitelerini kullanarak gerçek komuta ve kontrol sunucularını gizliyor. Bu yöntem, siber güvenlik araştırmacılarının grubu izleme ve etkisiz hale getirme çabalarını zorlaştırıyor. Grubun sürekli gelişen saldırı teknikleri, hükümet kurumları ve sivil toplum kuruluşlarının karşı karşıya olduğu kalıcı siber tehditleri gözler önüne seriyor.