Çeşitli ülkelerdeki Tibetlileri hedef almak için dini bir toplantı olan Monlam Festivali’nden yararlanan bir siber casusluk kampanyası keşfedildi.
Güvenlik araştırmacıları, Eylül 2023’ten bu yana Tibetlileri hedef alan bir siber casusluk kampanyası keşfetti. Araştırmacılara göre saldırganlar bir watering-hole (stratejik web tehlikesi) ve Tibet dili çeviri yazılımının truva atı yükleyicilerini sunmak için bir tedarik zinciri tehlikesini yöntem olarak kullandılar.
Saldırganlar, web sitesi ziyaretçilerini MgBot ve henüz kamuya açıklanmamış bir arka kapı ile tehlikeye atmak için hem Windows hem de macOS için kötü amaçlı indiriciler dağıtmayı amaçladı.
Çin’e bağlı Evasive Panda APT grubu tarafından yürütülen siber casusluk kampanya, çeşitli ülkelerdeki Tibetlileri hedef almak için dini bir toplantı olan Monlam Festivali’nden yararlandı. Hedeflenen ağlar Hindistan, Tayvan, Hong Kong, Avustralya ve Amerika Birleşik Devletleri’nde bulunuyordu.
Siber casusluk operasyonu Ocak 2024’te keşfedildi. Watering-hole kullanılarak ele geçirilmiş web sitesi (saldırgan, kurbanın muhtemelen veya düzenli olarak kullandığı bir web sitesini istila eder), Tibet Budizmini uluslararası alanda teşvik eden Hindistan merkezli bir kuruluş olan Kagyu International Monlam Trust’a ait.
Saldırı, her yıl Ocak ayında Hindistan’ın Bodhgaya şehrinde düzenlenen Kagyu Monlam Festivali’ne olan uluslararası ilgiden faydalanmayı amaçlamış olabilir. Amerika Birleşik Devletleri’ndeki Georgia Institute of Technology (Georgia Tech olarak da bilinir) ağı, hedeflenen IP adres aralıklarında tespit edilen kuruluşlar arasında. Geçmişte bu üniversitenin adı Çin Komünist Partisi’nin ABD’deki eğitim kurumları üzerindeki etkisiyle bağlantılı olarak anılmıştı.
Eylül 2023 civarında saldırganlar, Tibet dili çeviri yazılımı üreten Hindistan merkezli bir yazılım geliştirme şirketinin web sitesini ele geçirdi. Buraya Windows veya macOS için kötü amaçlı bir indirici dağıtan birkaç truva atı uygulaması yerleştirdiler.
Buna ek olarak, saldırganlar aynı web sitesini ve Tibetpost adlı bir Tibet haber sitesini, Windows için iki tam özellikli arka kapı ve macOS için bilinmeyen sayıda yük dahil olmak üzere kötü amaçlı indirmelerle elde edilen yükleri barındırmak için de kötüye kullandılar.
Güvenlik araştırmacıları, kullanılan kötü amaçlı yazılımlara dayanarak bu kampanyayı Evasive Panda APT grubuyla ilişkilendiriyor: MgBot ve Nightdoor. Geçtiğimiz iki yıl içinde, her iki arka kapının da Tayvan’daki dini bir organizasyona karşı yapılan ve aynı Komuta ve Kontrol sunucusunu paylaştıkları ilgisiz bir saldırıda birlikte kullanıldığı görüldü.
Evasive Panda (BRONZE HIGHLAND veya Daggerfly olarak da bilinir), en az 2012’den beri aktif olan, Çince konuşan ve Çin’e bağlı bir siber casusluk grubudur.
Çin, Makao ve Güneydoğu ve Doğu Asya ülkelerinde, özellikle de Myanmar, Filipinler, Tayvan ve Vietnam’da devlet kurumları hedef alındı. Çin ve Hong Kong’daki diğer kuruluşlar da hedef alınmıştı. Kamu raporlarına göre, grup Hong Kong, Hindistan ve Malezya’daki bilinmeyen kuruluşları da hedef almıştı.
Grup, MgBot olarak bilinen arka kapısının kurbanlarını gözetlemek ve yeteneklerini geliştirmek için modüller almasına olanak tanıyan modüler bir mimariye sahip kendi özel kötü amaçlı yazılım çerçevesini kullanıyor.