Çinli APT Lotus Panda, Hükümetleri Hedef Almak İçin Yeni Sagerunex Arka Kapı Varyantlarını Kullanıyor

05.03.2025

Çinli APT grubu Lotus Panda, güncellenmiş Sagerunex arka kapısını kullanarak Filipinler, Vietnam, Hong Kong ve Tayvan’daki hükümet, imalat, telekomünikasyon ve medya sektörlerini aktif olarak hedef alıyor. Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon ve Thrip gibi farklı isimlerle de bilinen bu siber casusluk grubu, en az 2009 yılından beri faaliyet gösteriyor ve ilk olarak 2018 yılında Symantec tarafından kamuya duyuruldu.

Cisco Talos araştırmacısı Joey Chen’e göre, Lotus Panda en az 2016’dan beri Sagerunex kötü amaçlı yazılımını kullanıyor ve uzun vadeli kalıcılığı sağlamak için komut kabuklarıyla çalışırken sürekli yeni varyantlar geliştiriyor. Grubun en son saldırılarında, tespit edilmekten kaçınmak için bulut depolama platformları ve web postası hizmetleri gibi meşru sistemleri komuta ve kontrol kanalları olarak kullanan iki yeni beta sürümü yer alıyor. Kaynak kodunda bulunan hata ayıklama öğeleri, bu sürümlerin hâlâ geliştirme aşamasında olduğunu gösteriyor.

İlk erişim yöntemi tam olarak bilinmemekle birlikte, grup geçmişte kimlik avı e-postaları ve ele geçirilmiş web siteleri kullanarak hedef sistemlere sızmıştır. Sagerunex arka kapısı bir kez yüklendiğinde, sistem verilerini toplayarak şifreler ve saldırganların kontrolündeki uzak bir sunucuya iletir. Web posta tabanlı bir Sagerunex sürümü, yalnızca kurbanın verilerini toplamakla kalmaz, aynı zamanda saldırganların ele geçirilmiş e-posta hesapları aracılığıyla komut göndermesine de olanak tanır. Yanıtlar, taslak veya çöp kutusu klasörlerinde şifrelenmiş arşivler olarak saklanır.

Sagerunex dışında, grup tarayıcı kimlik bilgilerini çalmak için kötü amaçlı yazılımlar, trafiği gizlemek için açık kaynaklı proxy araçları, ayrıcalık yükseltme yazılımları ve çalınan verileri sıkıştırıp şifrelemek için özel yazılımlar kullanıyor. Saldırganlar ayrıca sistem keşfi yapmak için çeşitli komutlar çalıştırıyor. İnternet erişimi kısıtlanmışsa, mevcut proxy ayarlarını kullanarak bağlantı kurabilir veya izole makineleri internet erişimi olan sistemlere bağlamak için ek proxy araçları kullanabilirler.

Bu devam eden faaliyetler, Lotus Panda’nın sürekli geliştiğini ve tespit edilmekten kaçınmak için tekniklerini sürekli olarak rafine ettiğini gösteriyor. Meşru çevrimiçi hizmetleri komuta ve kontrol operasyonları için kullanarak, grup Asya’daki çeşitli sektörlere yönelik sofistike bir siber casusluk stratejisi yürütmeye devam ediyor.