Kritik dosya paylaşım platformu, hacker’lara yeni bir kapı açtı

Popüler uzaktan dosya paylaşımı ve işbirliği platformu Triofox’un, siber güvenlik dünyasını alarma geçiren kritik bir sıfır gün güvenlik açığı taşıdığı açıklandı. Bu açık, siber suçluların ağ içerisinde hareket etmesini sağlayan uzaktan erişim araçlarını sisteme sızdırmak için kullanıldı ve bu da büyük çaplı bir casusluk operasyonuna zemin hazırladı.

Google’ın güvenlik araştırmacıları Mandiant ve Tehdit İstihbarat ekipleri, Triofox’un kurulum tamamlandıktan sonra bile ilk kurulum sayfalarına yetkisiz erişime izin veren bir “uygunsuz erişim kontrolü” kusuru barındırdığını tespit etti. CVE-2025-12480 olarak izlenen ve 9,1/10 gibi kritik bir önem puanına sahip olan bu kusur, büyük olasılıkla Nisan 2025’in başlarında ortaya çıktı ve Temmuz ayının sonlarında bir yama ile giderildi. Ancak saldırıların yamanın yayınlanmasından yaklaşık bir ay sonra dahi tespit edilmesi, hedef alınan kuruluşun güvenlik düzeltmesini zamanında uygulamadığını gösteriyor.

Saldırının arkasındaki gizemli grup: UNC6485

Araştırmacılar, bu saldırılardan sorumlu tehdit aktörlerinin UNC6485 olarak adlandırılan ve daha önce rapor edilmemiş yeni bir grup olduğunu belirledi. Google’ın tehdit istihbarat ekiplerinin devlet destekli tehdit aktörlerini izlemesi göz önüne alındığında, bu grubun ulus devletlerle bağlantılı olabileceği sayılıyor. Bu durum, yürüttükleri kampanyanın temel amacının büyük ölçekli veri hırsızlığı veya siber casusluk faaliyetleri olabileceği şüphesini kuvvetlendiriyor.

İsmi açıklanmayan bir kurbana yönelik tespit edilen saldırı zincirinde, UNC6485 tehdit aktörleri Triofox’taki kritik güvenlik açığını kullanarak sisteme kötü amaçlı kod yerleştirdi. Bu kötü amaçlı kod aracılığıyla, kurumsal ortamlarda kullanılan meşru bir yazılım olan Zoho UEMS yazılımını sisteme dağıtmayı başardılar.

Casusluk için meşru araçları kullandılar

Zoho UEMS’in dağıtılması, saldırganlara kapı açarak Zoho Assist ve AnyDesk gibi uzaktan erişim sağlayan meşru araçların kurulmasına olanak tanıdı. Saldırganlar bu araçları kullanarak hem sisteme uzaktan ve gizlice erişim sağladı hem de ağ içerisinde fark edilmeden yatay hareket kabiliyetini elde etti.

Casusluk faaliyetlerini derinleştirmek için, SSH tüneli oluşturmak ve uzak trafiği yönlendirmek amacıyla Plink ve PUTTY gibi bilinen araçları da kullandıkları tespit edildi. Tüm bu taktikler, saldırının amacının basit fidye yazılımı değil, derinlemesine casusluk ve hassas veri toplama olduğunu net bir şekilde ortaya koyuyor.

Triofox’un arkasındaki şirket olan Gladinet, kritik güvenlik açığını 26 Temmuz’da yayımlanan 16.7.10368.56560 sürümüyle giderdi. Platformu kullanan tüm kuruluşların, bu hayati yamayı en kısa sürede uygulamaları şiddetle tavsiye ediliyor. Ayrıca şirket, 14 Ekim’de daha yeni bir sürüm olan 16.10.10408.56683’ü piyasaya sürdü. Maksimum güvenlik için mümkünse bu en son sürümün yüklenmesi gerekiyor.