Kaspersky GReAT, Operation ForumTroll’un Yeni Bulgularını Açıkladı
Şirketten yapılan açıklamaya göre, Mart 2025’te “Operation ForumTroll” adı verilen gelişmiş siber casusluk kampanyasını ortaya çıkaran Kaspersky GReAT, bu araştırmasında yeni bulgulara ulaştı.
LeetAgent Adlı Casus Yazılım Kullanıldı
Söz konusu bulgular, popüler bir internet tarayıcısının sıfırıncı gün güvenlik açığını istismar eden gelişmiş kalıcı tehdit (APT) kampanyası Operation ForumTroll’un incelenmesi sırasında elde edildi. Saldırıdan sorumlu APT grubu, Primakov Readings forumuna davet izlenimi veren kişiselleştirilmiş oltalama e-postaları aracılığıyla Rusya’daki medya kuruluşlarını, eğitim ve kamu kurumlarını hedef aldı.
Uzmanlar, saldırganların “leetspeak” (internet argosu) ile yazılmış komutları nedeniyle APT zararlı yazılımlarında nadir görülen özelliklerden “LeetAgent” adlı casus yazılım kullandığını tespit etti. Daha derinlemesine yapılan analizler, bu yazılım setiyle Kaspersky GReAT’ın diğer saldırılarda gözlemlediği daha gelişmiş bir casus yazılım arasında benzerlikler olduğunu ortaya koydu. Bazı durumlarda söz konusu gelişmiş yazılımın LeetAgent tarafından başlatıldığının veya yükleyici çerçevesini paylaştıklarının belirlenmesinin ardından iki casus yazılım ve saldırılar arasındaki bağlantı da doğrulandı.
Dante Adlı Casus Yazılım ve Bağlantıları
Kaspersky uzmanları, diğer casus yazılımda “VMProtect” tabanlı gelişmiş analiz karşıtı teknikler kullanılmasına rağmen iç kodunda yer alan adın “Dante” olduğunu ortaya çıkardı. Araştırmacılar, aynı isimde ticari bir casus yazılımın Memento Labs (yeniden markalanan HackingTeam) tarafından pazarlanan ürün olduğunu da keşfetti. Kaspersky GReAT’in eline geçen HackingTeam’in Remote Control System (RCS) casus yazılımının son sürümleriyle Dante arasında da yapısal benzerlikler bulundu.
Araştırmacılar, LeetAgent’ın ilk kullanımını 2022 yılına kadar takip etti ve ForumTroll APT grubunun Rusya ve Belarus’taki kurum ve kişilere yönelik ek saldırılarını da keşfetti. Grup, güçlü Rusça bilgisi ve yerel ayrıntılara hakimiyetiyle öne çıkıyor. Kaspersky, bu özellikleri, söz konusu APT tehdidiyle bağlantılı diğer kampanyalarda da gözlemledi. Araştırmanın sonuçları, Tayland’da devam eden Security Analyst Summit etkinliğinde kamuoyuyla paylaşıldı.
Açıklamada görüşlerine yer verilen Kaspersky GReAT Baş Güvenlik Araştırmacısı Boris Larin, casus yazılım tedarikçileri varlığının sektörde bilinen bir gerçek olduğunu belirtti. Bu tedarikçilerin geliştirdiği ürünleri tespit etmenin, özellikle hedefli saldırılarda son derece zor olduğunu vurgulayan Larin, “Dante’nin kökenini ortaya çıkarmak, yoğun biçimde gizlenmiş kod katmanlarını çözmeyi, yıllara yayılan zararlı yazılım evrimindeki nadir izleri takip etmeyi ve bunları, kurumsal bağlantılarla ilişkilendirmeyi gerektirdi. Belki de adını bu yüzden Dante koydular.” ifadelerini kullandı.
