Siber güvenlik çözümlerinde dünya lideri olan ESET, Çin ile bağlantılı TheWizards APT grubu tarafından kullanılan Spellbinder ve WizardNet araçlarını analiz etti. Spellbinder, TheWizards tarafından yerel ortadaki düşman saldırıları ve güncelleme uygulamalarının gelen veri aktarımının saldırgan kontrolünde bir sunucuya yönlendirilmesi için kullanılır. Bu sunucu, meşru Çin yazılım güncelleme yazılımı tarafından kurbanların makinelerine dağıtılan TheWizards'ın imzalı arka kapısı WizardNet'i gönderiyor. ESET ayrıca TheWizards ile UPSEC olarak da bilinen Çinli Dianke Network Security Technology şirketi arasındaki bağlantıları da detaylandırıyor.

ESET araştırmacılarının gelişimine göre Spellbinder, saldırganların meşru Çin yazılımlarının güncelleme protokollerini kötü niyetli sunuculara yönlendirmesine olanak sağlar, alternatif IPv6 durumsuz adres otomatik olarak sahtekârlığı yoluyla ortadaki düşman saldırılarına olanak sağlar. Artık meşru yazılım, arka kapı WizardNet'i başlatan kötü amaçlı bileşenleri indirip çalıştırmak için kandırıyor. ESET telemetrisine göre Filipinler, Kamboçya, Birleşik Arap Emirlikleri, Çin ve Hong Kong'daki bireyleri, kumar karşılaştırmaları ve bilinmeyen varlıkları hedef alan TheWizards en az 2022'den çürüğe kadar sürekli olarak aktif.

Spellbinder ve WizardNet'i analiz eden ESET araştırmacıları Facundo Muñoz, şu açıklamayı yaptı: "Bu aracı ilk olarak 2022'de keşfederek analiz ettik; 2023 ve 2024'te atılmış makinelere dağıtılan birkaç değişiklik içeren yeni bir sürüm gözlemledik. Araştırmamız, saldırganlar tarafından ve bir ağdaki şarjı kullanmak ve yanıtlamak için IPv6 SLAAC sahtekârlığını kullanarak ortadaki saldırıları ortamda bir araya getirmemizi sağladı. Araç, saldırganların şifrelemesini yeniden yönlendirmesine, meşru Çin yazılımlarına kötü amaçlı güncellemeler sunmasına imkan tanır."

Saldırıdaki son yük, WizardNet adı verilen bir arka kapı: Tehlikeli makinede .NET modüllerini almak ve çalıştırmak için uzaktan kumandaya yerleştirilen bir modüler implant. ESET araştırmacıları, 2024 yılında Tencent QQ yazılımının Güncellemesinin ele geçirildiği ve son vakalardan birine odaklandı. Güncelleme talimatlarını yayımlayan kötü niyetli sunucu güncelleniyor aktif. WizardNet'in bu birimi beş parçadan oluşuyor ve bunlardan üçü .NET modüllerini bellekte çalıştırmasına izin veriyor, böylece tehlikeye atılan sistemdeki çözülmeyi genişletiyor.

TheWizards ve DarkNights'ın arka kapısının (DarkNimbus olarak da bilinen) tedarikçileri olan Çinli Dianke Network Security Technology (UPSEC olarak da bilinen) şirketiyle ilgili olarak ortada. NCSC UK'ye göre, bu kötü niyetli arka kapının hedef hedefi Tibet ve Uygur toplulukları arasında var. TheWizards farklı bir arka kapı olan WizardNet'i kullanırken ele geçirme sunucusu Android işletim sistemi çalışan uygulamaları güncellemek için DarkNights'ı şeklinde sunmaktır.