Trend Micro,
SHADOW-EARTH-053 adıyla takip ettiği Çin bağlantılı tehdit grubuna ilişkin kapsamlı bir analiz yayımladı. Grup en az Aralık 2024'ten beri aktif ve CL-STA-0049, Earth Alux ile REF7707 gibi bilinen Çin APT kümeleriyle ağ örtüşmeleri gösteriyor.
Hedef coğrafya: Güney, Doğu ve Güneydoğu Asya'daki hükümet ve savunma sektörleri + NATO'ya bağlı bir Avrupa ülkesi hükümeti (isim açıklanmadı).
Saldırı zinciri:
- Giriş: İnternet erişimli Microsoft Exchange ve IIS sunucularında N-day zafiyetleri — ProxyLogon zinciri dahil
- Kalıcılık: Godzilla webshell → komut çalıştırma ve lateral movement
- Yük: ShadowPad (Çin devlet destekli grupların paylaşımlı backdoor'u) meşru imzalı binary'ler üzerinden DLL sideloading ile yükleniyor
- Kaçınma: Living-off-the-land teknikleri, şifreli C2 kanalları
Finans sektörü bağlantısı: Hükümet ve savunma kurumlarını hedef alsa da, bu kurumların düzenleyici birimlerinde (merkez bankaları, finansal istihbarat birimleri) çalışan personel ve kullandıkları sistemler saldırı yüzeyini genişletiyor. ProxyLogon zinciri hâlâ yaygın Exchange ortamlarında aktif risk oluşturuyor.