← Tüm Yazılar
Siber Güvenlik

TrustFall ve MystRodX – Linux Sistemlerde Gizli APT Operasyonu (2025)

📅 ⏳ 2 dk okuma ✎ İlker CUMBUR

Giriş: İki Farklı Araç, Tek Bir Kampanya

2025 yılı, Linux tabanlı sistemleri hedef alan gelişmiş kalıcı tehditlerin (APT) yılı olmaya aday. Kazakistan Devlet Teknik Servisi (GTS) ve QAX (RedDrip7) araştırmacıları tarafından ortaya çıkarılan yeni bir kampanya, TrustFall ve MystRodX adlı iki bağlantılı zararlı yazılımı (malware) gün yüzüne çıkardı.

Bu analiz, görünüşte bağımsız gibi duran ancak aslında aynı siber casusluk operasyonunun ardışık aşamaları olan bu iki tehdidi ve arkasındaki APT gruplarını (STA-2201 ve STA-2404) mercek altına alıyor.

🧩 1. Aşama: TrustFall (Mart 2025) – “Sessiz Gözcü”

Kampanyanın ilk aşamasında tespit edilen TrustFall, sistemde ayak izi bırakmamaya odaklanan hafif bir “arka kapı” (backdoor) olarak tanımlanıyor.

  • Davranış Modeli: Standart Linux komutlarını /bin/sh   kullanarak sistemde komut yürütür.

  • Veri Çıkarma (Exfiltration): Hedef sistemdeki verileri tar -czvf  komutuyla sıkıştırır ve rm -rf  komutuyla işlem izlerini siler.

  • C2 İletişimi: Çaldığı verileri HTTP POST isteği ile /news/data_form.php adresine gönderir. Başlangıçta sabit IP adresleri kullanırken, sonraki varyantlarda trafiği şifrelemeye başlamıştır.

🧩 2. Aşama: MystRodX (Ağustos 2025) – “Gelişmiş Silah”

Ağustos ayına gelindiğinde saldırganlar taktik değiştirerek MystRodX‘i devreye aldı. QAX analistleri tarafından da doğrulanan bu araç, TrustFall’ın çok daha gelişmiş bir versiyonudur.

  • Gelişmiş Gizlilik: Ağ trafiği tamamen şifrelenmiştir, bu da geleneksel IDS/IPS sistemlerinin trafiği analiz etmesini zorlaştırır.

  • Genişletilmiş Altyapı: 139.84.156.79 IP adresi üzerinden yayılan bu varyant, farklı bir ağ iletişim formatı kullanır.

🎯 Saldırının Arkasındaki İsimler: APT Grupları

Bu operasyonun arkasında, devlet destekli olduğu düşünülen ve stratejik hedeflere odaklanan iki ana aktör grubu bulunmaktadır:

1. STA-2201 (Initial Access Broker)

  • Profil: 2019’dan beri aktif. Hem “İlk Erişim Sağlayıcı” (Initial Access Broker) olarak ağlara sızıp erişim satıyor, hem de klasik veri hırsızlığı yapıyor.

  • Hedef Sektörler: Kamu (Devlet) ve Telekomünikasyon.

  • Taktik: Zamanla daha “sessiz” ve tespit edilmesi zor yöntemlere geçiş yapmıştır.

2. STA-2404 (Yeni Nesil APT)

  • Profil: 2024 yılında yapılanan, daha agresif ve teknik kapasitesi yüksek bir grup.

  • Hedef Sektörler: Enerji, Sağlık, Finans, Ulaştırma ve Bilimsel Araştırma kurumları.

⚙️ Teknik Özet ve Karşılaştırma (Tablo)

Özellik TrustFall (Mart 2025) MystRodX (Ağustos 2025)
Tür Hafif Backdoor Gelişmiş Modüler Malware
İletişim POST /news/data_form.php Şifreli Özel Protokol
Komutlar /bin/sh, tar, rm Gelişmiş C2 Komutları
Dağıtım Sabit C2 IP’leri 139.84.156.79 ve Geniş Ağ

🛡️ Saldırı Göstergeleri (IOC) – Engelleme Listesi

Sistem yöneticilerinin ve SOC ekiplerinin aşağıdaki IP ve dosya adlarını acilen engellemesi gerekmektedir:

Kritik C2 IP Adresleri:

185.154.154.135 (tcbipkrn.config ile ilişkili)

213.159.64.6 (baeeajzb.config ile ilişkili)

139.84.156.79 (Dağıtım Sunucusu)

2.56.177.181, 37.221.125.201, 5.252.22.232

45.14.244.110, 45.83.140.218, 154.196.162.76

Şüpheli Dosya İsimleri:

tcbipkrn.config

baeeajzb.config

Davranışsal İmza: Web sunucusu süreçlerinin (Apache/Nginx) altında sh, tar ve rm komutlarının sıralı çalıştırılması güçlü bir enfeksiyon belirtisidir.

CUMBUR.NET  sitesinden daha fazla şey keşfedin

Subscribe to get the latest posts sent to your email.

İlker CUMBUR
İlker CUMBUR
Cisco Instructor | Senior IT Manager | CyberSecurity Analyst

Bir Cevap Yazın