Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) ve BI.ZONE Güvenlik Açığı Araştırma uzmanları, 2022’de keşfedilen PipeMagic arka kapısına ilişkin yeni faaliyetleri ortaya çıkardı. İlk olarak Asya’da görülen tehdit, 2024 sonunda Suudi Arabistan’da tespit edilmişti. Son analizler, saldırıların Suudi kuruluşlarına yönelmeye devam ettiğini ve aynı zamanda Brezilya’daki imalat şirketlerine doğru genişlediğini gösteriyor.

Kritik güvenlik açığı kullanıldı

Araştırmacılar, saldırılarda Microsoft’un CVE-2025-29824 güvenlik açığının istismar edildiğini belirledi. Nisan 2025’te yayımlanan 121 güvenlik yaması arasında aktif olarak istismar edilen tek açık olan bu zafiyet, Windows işletim sisteminde clfs.sys günlük sürücüsündeki hata üzerinden ayrıcalık yükseltmeye olanak tanıyordu.

2025 kampanyasında saldırganlar, Microsoft Yardım Dizini Dosyası üzerinden hem şifre çözme hem de kabuk kodu çalıştırma mekanizmaları kullandı. RC4 şifrelemesiyle gizlenen kod, WinAPI EnumDisplayMonitors işlevi aracılığıyla çalıştırılarak işlem enjeksiyonu yoluyla sistem API adreslerini dinamik olarak çözebildi.

Sahte ChatGPT uygulamaları yem olarak kullanılıyor

Kaspersky, PipeMagic’in ChatGPT istemcisi gibi görünen yükleyicilerinin güncel sürümlerini de tespit etti. Bu uygulamalar, 2024’te Suudi kuruluşlarına yönelik saldırılarda kullanılan sürümlerle benzerlik gösteriyor. Hem Tokio ve Tauri çerçeveleri, hem de aynı libaes kütüphane sürümü ile benzer dosya yapıları dikkat çekiyor.

Uzmanlardan uyarılar

Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Leonid Bezvershenko, konuyla ilgili şunları söyledi:
“PipeMagic’in yeniden ortaya çıkması, bu kötü amaçlı yazılımın hala aktif olduğunu ve gelişmeye devam ettiğini doğruluyor. Yeni sürümler, kurbanların altyapılarında kalıcılığı artırıyor ve ağlarda yanal hareketleri kolaylaştırıyor.”

BI.ZONE Güvenlik Açığı Araştırma Lideri Pavel Blinnikov ise, finansal motivasyonla hareket eden tehdit aktörlerinin giderek daha fazla clfs.sys sürücüsündeki zafiyetleri kullandığını belirterek, “Bu tür tehditleri azaltmak için hem erken aşamada hem de istismar sonrasında şüpheli davranışları tespit edebilen EDR araçlarının kullanılması kritik önem taşıyor” dedi.

PipeMagic geçmişi

PipeMagic, 2022’de Kaspersky’nin RansomExx ile bağlantılı bir kötü amaçlı kampanya soruşturması sırasında ortaya çıkmıştı. İlk saldırılar Güneydoğu Asya’daki endüstri şirketlerini hedef aldı ve saldırganlar CVE-2017-0144 güvenlik açığını kullanarak ağlara sızdı.

Arka kapı, iki farklı modda çalışabiliyor:

• Tam teşekküllü uzaktan erişim aracı
• Bir ağ proxy’si olarak çok sayıda komutun yürütülmesine imkan tanıyan yapı

Ekim 2024’te Suudi Arabistan’da sahte bir ChatGPT ajan uygulaması ile dağıtılan yeni PipeMagic varyantı, saldırganların bu kötü amaçlı yazılımı geliştirmeye devam ettiğini ortaya koymuştu.