Siber güvenlik şirketi ESET, Çin bağlantılı yeni bir Gelişmiş Kalıcı Tehdit (APT) grubu keşfettiğini açıkladı. LongNosedGoblin adı verilen grubun Güneydoğu Asya ve Japonya’daki devlet kurumlarını hedef aldığı belirtildi.
ESET Research, Grup İlkesi adı verilen mekanizmayı kötüye kullanarak kötü amaçlı yazılımlar dağıttığını ve ele geçirilen ağlarda yatay hareketler gerçekleştirdiğini ortaya koydu. Grup, Windows makinelerinde ayar ve izinleri yönetmek için kullanılan Grup İlkesi özelliğini hedef alıyor.
Araştırmacılar, 2024 yılında Güneydoğu Asya’daki bir devlet kurumunun ağında daha önce belgelenmemiş bir kötü amaçlı yazılım tespit etti. Grubun Eylül 2023’ten beri aktif olduğu ve Eylül 2025 itibarıyla bölgedeki faaliyetlerinin yeniden başladığı ifade edildi.
LongNosedGoblin, komuta ve kontrol için Microsoft OneDrive ve Google Drive gibi bulut hizmetlerini kullanıyor. Grup, ele geçirilen ağlarda siber casusluk amaçlı yazılımlar yerleştiriyor ve bu hizmetler üzerinden bilgi topluyor.
ESET, grubun cephaneliğindeki araçlar arasında Google Chrome, Microsoft Edge ve Mozilla Firefox’tan tarayıcı geçmişi toplayan NosyHistorian, hedef makineyle ilgili meta verileri toplayan NosyDoor ve tarayıcı verilerini çalan NosyStealer gibi yazılımların yer aldığını açıkladı.
ESET araştırmacısı Anton Cherepanov, grubun farklı teknikler kullandığını ve Yandex Disk gibi bulut hizmetlerini komuta ve kontrol sunucusu olarak tercih ettiğini ifade etti. Bu varyantın kullanılmasının, kötü amaçlı yazılımların Çin bağlantılı birden fazla tehdit grubu arasında paylaşılabilir olduğunu gösterdiği belirtildi.
