7 Mayıs 2025’te Google’ın Threat Intelligence ekibi, Rusya destekli siber casusluk grubu COLDRIVER’ın “LOSTKEYS” adlı yeni bir malware varyantı geliştirdiğini bildirdi. Bu malware, grubun geleneksel oltalama taktiklerinden daha gelişmiş siber saldırılara yöneldiğini gösteriyor.
LOSTKEYS Malware’ın Temel Özellikleri:
Veri Çıkarma: LOSTKEYS, enfekte sistemlerdeki belirli uzantı ve dizinlerden dosya çalmak üzere tasarlandı.
Sistem Gözetimi: Malware, detaylı sistem bilgilerini toplar ve çalışan süreçleri izleyerek bu verileri COLDRIVER sunucularına iletir.
Sofistike Dağıtım Süreci:
Tuzak site kullanıcıya sahte CAPTCHA sunar.
Bir PowerShell betiği kullanıcının panosuna indirilir.
Betik çalıştırılır ve nihai yük alınır.
Malware sisteme kurulmuş olur.
Google, “165.227.148[.]68” IP adresini bu kötü amaçlı faaliyetle ilişkili olarak belirledi ve kullanıcıları korumak üzere ilgili siteleri Safe Browsing özelliğine ekledi.
COLDRIVER Hakkında:
COLDRIVER, Blue Callisto, BlueCharlie ve Star Blizzard gibi takma adlarla da bilinir ve en az 2019’dan beri aktiftir. Grup, Rusya Federal Güvenlik Servisi ile bağlantılıdır ve NATO ortakları, STK’lar ve gazeteciler dahil olmak üzere yüksek profilli Batılı kişi ve kuruluşları hedef alarak istihbarat topluyor.
2025 başlarında COLDRIVER, Batılı hükümet danışmanları, askeri personel ve Ukrayna ile bağlantılı kişileri hedef aldı. Daha önce 2022’de grup, üç ABD nükleer araştırma laboratuvarına sızdı ve eski İngiliz istihbarat şefi Richard Dearlove ile Brexit yanlısı isimlerin e-postalarını sızdırdı.
Sonuçlar:
LOSTKEYS’in ortaya çıkışı, devlet destekli siber aktörlerin oluşturduğu tehdit ortamının evrildiğini gösteriyor. Özellikle hükümet ve sivil toplum kuruluşlarının siber güvenlik önlemlerini güçlendirmesi, oltalama girişimlerine karşı dikkatli olması ve sistemlerini güncel tutması önerilir.