“TOUGHPROGRESS” adı verilen yeni zararlı yazılımla, devlet kurumlarını hedef alan grup, Google'ın yasal altyapısını veri sızdırma ve komut iletimi amacıyla suistimal etti.
2024 yılının Ekim ayında keşfedilen saldırı zinciri, ele geçirilmiş bir devlet internet sitesi üzerinden yürütüldü. Kurbanlar, kimlik avı e-postaları aracılığıyla tuzağa düşürüldü ve görünüşte zararsız bir ZIP dosyası üzerinden bulaşma gerçekleşti. Ancak ZIP içeriği, yalnızca masum bir klasörden ibaret değildi. Bir Windows kısayol dosyası (LNK) ve yanıltıcı görsellerle kamufle edilen zararlı içerik, çok katmanlı bir enfeksiyonun kapısını aralıyordu.
Bu enfeksiyon zincirinde PLUSDROP, PLUSINJECT ve nihayetinde TOUGHPROGRESS gibi bileşenler devreye giriyor. Özellikle TOUGHPROGRESS, alışılmışın dışında bir taktikle dikkat çekiyor: Google Takvim üzerinden sıfır dakika süren, şifreli veri içeren olaylar oluşturuyor ve bunlar yoluyla sisteme komutlar alıyor.
Bu saldırı, APT41’in Google altyapısını hedef aldığı ilk örnek değil. Grup, daha önce de Google Drive üzerinden GC2 adlı bir arka kapı yazılımını çalıştırmış ve bu yolla Google E-Tablolar’dan komut alımı yapmıştı. Yani, meşru hizmetlerin kılıfında yürütülen bu tür saldırılar artık APT41 için standart bir yöntem haline gelmiş durumda.
Google, bu tehdidin farkına varır varmaz saldırıyı durdurduğunu, ilgili Takvim projelerini kapattığını ve etkilenen kurumlara bilgi verdiğini açıkladı. Ancak saldırının tam kapsamı hâlâ belirsizliğini koruyor. Bu durum, dijital hizmetlerin siber saldırganlar tarafından nasıl araçsallaştırıldığını ve tehdit aktörlerinin gittikçe daha yaratıcı yollarla hareket ettiğini açıkça ortaya koyuyor.
