Özet

Çin ile bağlantılı TA415 tehdit grubu, 2025 yılının Temmuz ve Ağustos ayları arasında ABD hükümeti yetkilileri, düşünce kuruluşları ve akademik organizasyonları hedef alan kimlik avı kampanyaları düzenledi. Grup, ABD-Çin ekonomik ilişkileri ve ticaret politikası konularında çalışan kişileri hedef almak için ABD Stratejik Rekabet Seçici Komitesi yetkilileri ve ABD-Çin İş Konseyi kimliğine büründü.

Kampanya, hedeflere ABD-Tayvan ve ABD-Çin ilişkileri hakkında brifinglere davet eden sahte e-postalar kullandı. Bu e-postalar, bulut hizmetlerinde barındırılan şifre korumalı arşivlere bağlantılar içeriyordu. Bu arşivlerde kötü amaçlı Windows kısayol dosyaları ve “WhirlCoil” adlı Python yükleyici bulunuyordu. Kötü amaçlı yazılım, zamanlanmış görevler aracılığıyla kalıcılık sağladı ve sistem bilgilerini ve dosyalarını çalmak için arka kapı erişimi oluşturan Visual Studio Code uzak tünelleri kurdu.

Bu faaliyetin, devam eden ABD-Çin ticaret görüşmeleri sırasında istihbarat toplayan Çinli devlet destekli aktörlere atfedildiği ve APT41 ile Brass Typhoon tehdit gruplarıyla bağlantıları bulunduğu belirtiliyor.

https://thehackernews.com/2025/09/chinese-ta415-uses-vs-code-remote.html