Check Point Research tarafından yayımlanan yeni rapor, Amaranth-Dragon olarak bilinen ve Çin ile bağlantılı olduğu değerlendirilen bir siber casusluk grubunun 2025 yılı boyunca Güneydoğu Asya’daki hükümet ve kolluk kuvvetlerini hedef aldığını ortaya koydu. Saldırganlar, WinRAR yazılımındaki kritik bir güvenlik açığını kullanarak Singapur, Tayland, Endonezya ve Filipinler gibi ülkelerdeki resmi kurumları takibe aldı.
Araştırmacılar, bu grubun APT-41 ekosistemiyle yakın bağları olduğuna inanıyor. Saldırıların, CVE-2025-8088 kodlu güvenlik açığının kamuya sızmasından sadece birkaç gün sonra, 18 Ağustos 2025 tarihinde başladığı saptandı. Kimlik avı e-postalarında kullanılan sahte içeriklerin, hedef alınan bölgelerdeki yerel siyasi olaylarla ve resmi yıl dönümleriyle zamanlanmış olması, operasyonun yüksek düzeyde planlandığını gösteriyor.
Güvenlik açığı Windows başlangıç klasörünü istismar ediyor
WinRAR’ın 7.13 öncesi sürümlerinde bulunan “path traversal” (yol geçişi) zafiyeti, saldırganların zararlı dosyaları sistemin kritik noktalarına yerleştirmesine olanak tanıyor. Kötü niyetli olarak yapılandırılmış bir arşiv dosyası açıldığında, yazılım fark edilmeden Windows Başlangıç klasörüne bir betik bırakıyor. Bu betik, bilgisayar her yeniden başlatıldığında otomatik olarak çalışarak casusluk yazılımını aktif hale getiriyor.
Saldırı zincirinde Amaranth Loader adı verilen özel bir yükleyici ve açık kaynaklı bir post-eksplantasyon aracı olan Havoc C2 framework kullanılıyor. Bu araçlar sayesinde saldırganlar, hedef sistem üzerinde kalıcı uzaktan erişim imkanı elde ediyor. Check Point uzmanları, saldırganların Cloudflare altyapısını kullanarak komuta kontrol sunucularını gizlediğini ve sadece belirli coğrafi bölgelerden gelen trafiğe izin vererek tespit edilmekten kaçındıklarını vurguluyor.
Saldırganlar, güvenlik araçlarını atlatmak için Telegram botları üzerinden iletişim kuran yeni bir zararlı yazılım türü geliştirdi.
Siber casusluk operasyonlarında Telegram üzerinden komut dönemi
Eylül 2025’te Endonezya’yı hedef alan operasyonlarda, araştırmacılar TGAmaranth RAT olarak adlandırılan yeni bir uzaktan erişim aracı gözlemledi. Bu yazılım, geleneksel komuta kontrol sunucuları yerine Telegram botlarını kullanarak emir alıyor. Ayrıca uç nokta güvenlik araçlarından kaçmak için sistem kütüphanelerini (ntdll.dll) devre dışı bırakan gelişmiş özellikler barındırıyor.
Google Tehdit Analiz Grubu, WinRAR üzerindeki bu zafiyetin sadece Çinli gruplar tarafından değil, Rusya merkezli aktörler ve finansal motivasyonlu siber suçlular tarafından da aktif olarak kullanıldığı konusunda uyardı. Uzmanlar, kurumların sistem güvenliğini sağlamak için WinRAR yazılımını 7.20 veya daha güncel bir sürüme yükseltmelerini ve arşiv dosyalarından çıkan yürütülebilir betiklere karşı izleme protokolleri uygulamalarını tavsiye ediyor.
Kurumsal savunma için kritik denetim adımları
Söz konusu tehditlerin karmaşıklığı, standart antivirüs çözümlerinin ötesinde bir savunma stratejisi gerektiriyor. Kurumların alması gereken temel önlemler şunlardır:
WinRAR yazılımının tüm kurumsal uç noktalarda 7.20 veya üzeri sürüme güncellendiği merkezi bir yönetim paneli üzerinden doğrulanmalıdır. Windows Başlangıç (Startup) klasörlerine yapılan dosya yazma işlemleri için EDR sistemlerinde özel izleme kuralları oluşturulmalı ve bilinmeyen script yürütme talepleri otomatik olarak engellenmelidir.
Dış ağdan gelen trafiğin sadece beklenen coğrafi bölgelerle sınırlanması ve Telegram API gibi yaygın servisler üzerinden yapılan veri trafiğinin anomali taramasından geçirilmesi, Amaranth-Dragon gibi grupların komuta kontrol mekanizmalarını felç edebilir. Ayrıca, çalışanların maaş güncellemeleri veya resmi kutlamalar temalı RAR dosyalarına karşı farkındalık eğitimleri, saldırı zincirinin ilk halkasını kırmak için hayati önem taşımaktadır.
