Tılsım Sıçan

Tılsım, Çin destekli siber casusluk grupları olduğuna inanılan tehditkar cephaneliğin bir parçası olarak görülen güçlü bir RAT'dir (Uzaktan Erişim Truva Atı). Tehdit, kötü şöhretli PlugX kötü amaçlı yazılımının kaynak kodu kullanılarak oluşturuldu ve tehdit aktörlerinin özel ihtiyaçlarına uyacak şekilde şekillendirildi. Kabuk kodu olarak yürütmek için şiddetle değiştirilmiş bir DLL'yi yüklemek zorunda kalan imzalı ve zararsız bir ikili dosyayı kötüye kullanmayı içeren benzer bir yürütme akışını izleyerek çalışır. Buna karşılık, kabuk kodu kötü amaçlı yazılımın şifresini çözmeye devam edecektir. Tılsım, ihlal edilen cihazlarda kurulduktan sonra, ona arka kapı erişimi sağlayacaktır.

Tılsım ayrıca bir PlugX varyantından beklenen eklenti özelliklerini de korur. Siber suçlular tarafından gerekli görülen bazı eklentiler, varsayılan olarak tehdide gömülüdür. Tanımlanan eklentilerden bazıları ABD CISA ajansı tarafından bir raporda açıklandı ve Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL ve Telnet'i içeriyor. Her eklentinin işlevleri adıyla eşleşir.

Şimdiye kadar, Talisman birkaç saldırı kampanyasının bir parçası olarak gözlemlendi. Araştırmacılar, telekom ve savunma sektörlerinde faaliyet gösteren Güney Asya varlıklarını hedef alan tehditkar bir operasyonu takip etti. Saldırı, Nomad Panda veya RedFoxtrot olarak bilinen bir siber suç grubuna atfedildi. Daha yakın zamanlarda, güvenlik araştırmacıları, yine telekomünikasyon sektöründeki hedefleri hedef alan, ancak bu sefer Orta Asya'da bulunan, Çin ile uyumlu başka bir hacker kolektifini yakaladı. Bu özel kampanya, 'Moshen Dragon' olarak izlenen bir tehdit aktörüne atfedildi. Moshen Dragon ve RedFoxtrot'un TTP'leri (Taktikler, teknikler ve prosedürler) arasında bir miktar örtüşme kurulduğu belirtilmelidir.