ESET Research tarafından 2025 4. çeyrek ve 2026 1. çeyrekte araştırılan ve analiz edilen seçilmiş APT faaliyet gruplarına genel bakış
ESET APT Faaliyet Raporu 2025 4. Çeyrek – 2026 1. Çeyrek, Ekim 2025’ten Mart 2026’ya kadar ESET araştırmacıları tarafından belgelenen, seçilmiş gelişmiş kalıcı tehdit (APT) gruplarının dikkat çekici faaliyetlerini özetlemektedir. Burada öne çıkan operasyonlar, bu dönemde araştırdığımız daha geniş tehdit ortamını temsil eder, önemli eğilimleri ve gelişmeleri gösterir. Ve ESET Tehdit İstihbaratı APT Raporları müşterilerine sağlanan siber güvenlik istihbarat verilerinin sadece bir kısmını içerir.
İzlenen zaman diliminde, Çin yanlısı tehdit aktörleri dünya çapında oldukça aktif kalmış ve kısmen Pekin’in ekonomik ve güvenlik çıkarlarını etkileyen jeopolitik gelişmelerin şekillendirdiği casusluk kampanyaları yürütmüştür. ABD’nin Venezuela’daki askeri operasyonunun ardından ve Körfez bölgesinde devam eden istikrarsızlık ortamında, Çin yanlısı grupların, Pekin’in yurtdışındaki denizcilik, enerji ve siyasi gelişmelere ilişkin görünürlüğünü artırmak için harekete geçirildiğine dair işaretler tespit ettik. Dikkat çeken bir vakada, FamousSparrow, ABD müdahalesinden sonra petrol sevkiyatlarının dayanıklılığını izlemek amacıyla denizcilik işleriyle bağlantılı bir Venezüella devlet kurumunu hedef aldı. Ayrıca SteppeDriver’ın bir Suriye devlet ağını hedef aldığını fark ettik; bu faaliyet, hem Suriye’nin yeniden inşa projelerine yönelik Çin’in ticari çıkarlarını hem de ülkedeki Uygur savaşçılarla ilgili güvenlik endişelerini yansıtıyor olabilir. VirusTotal’da, Ivanti VPN cihazlarını hedef alan UNC5221’in SPAWN araç setinin bir parçası olduğunu değerlendirdiğimiz yeni bir implant olan PhiliKit’i bulduk; NegativeGlimmer’ı takip ettiğimizde ise grubun Kamboçya ve Panama’daki devlet kurumlarının yanı sıra Güney Kore’deki bir yapay zekâ ve robotik şirketini de ele geçirdiğini ortaya çıkardık. Güney Kore’deki bu son hedefleme, “Made in China 2025” endüstriyel kalkınma politikası kapsamında öncelik verilen stratejik teknolojilere Pekin’in süregelen ilgisiyle uyumludur.
2026 yılının Şubat ayı sonlarında başlayan İran savaşı, bu dönemdeki İran yanlısı faaliyetler için belirleyici bir olaydı. Paradoksal olarak, bu çatışma, telemetri verilerimizde yerleşik İran yanlısı APT gruplarının faaliyetlerinde bir düşüşle aynı zamana denk geldi; bunun nedeni büyük olasılıkla İran rejimi tarafından uygulanan internet kısıtlamalarının bu grupların etkili bir şekilde faaliyet gösterme yeteneğini engellemesiydi. Aynı zamanda, bu ortam, İsrail, ABD ve Tahran’a düşman olarak görülen diğer devletleri hedef alan vekil ve hacktivist aktörlerin harekete geçmesini kolaylaştırmış görünüyor. Ayrıca daha önce bilinen gruplarla kesin olarak ilişkilendiremediğimiz, İsrailli hedeflere yönelik faaliyetlerde olağan dışı bir artış da belgeledik. Kaynağı bilinmeyen iki faaliyet kümesi olan Rusty Boots ve MoKhargosh, casusluk yetenekleri ve yıkıcı potansiyel sergiledi – buna bootkit tarzı bir wiper devreye sokmak ve daha sonra kullanmak üzere yıkıcı araçları saklamak da dâhildi – oysa üçüncü grup olan MOØN Badr, hedefli casuslukla sınırlı kalmış görünüyor.
Kuzey Kore ile bağlantılı tehdit aktörleri çeşitli cephelerde aktif olmaya devam etti. Birçok grup hem doğrudan mali kazanç hem de yazılım tedarik zincirini tehlikeye atma fırsatları sağlayabilecek sosyal mühendislik planlarıyla geliştiricileri ve kripto para ekosistemini hedef almaya devam etti. Lazarus ve DeceptiveDevelopment, yüksek değerli hedeflerle uzun vadeli ilişkiler kurmaya yatırım yapmaya devam ederken Kimsuky ve Konni daha hızlı ve fırsatçı saldırıları tercih etti. Ayrıca Andariel’in Güney Kore’de yeniden ortaya çıktığını da ortaya çıkardık. Grup, bu ülkede TigerRAT’ı dağıttı ve sıvı hidrojen işleme ve nükleer endüstriyle ilgili ekipman ürettiği görülen bir mühendislik şirketi içinde Rook fidye yazılımını yaymaya çalıştı. Bu teknolojiler, Pyongyang’ın balistik ve nükleer hırsları açısından açıkça ilgi çekicidir.
Ayrıca Operation DreamJob ve Operation DangerousPassword dâhil olmak üzere Lazarus kampanyalarının devam eden evrimini de takip ettik. İlki Avrupa’daki drone üreticilerini hedef alırken ikincisi npm kayıt defterinde haftalık 100 milyondan fazla indirilme sayısına sahip ve dünya çapında web ve mobil uygulamalar için kritik öneme sahip, yaygın olarak kullanılan JavaScript kütüphanesi axios’un ele geçirilmesine yol açtı. Saldırganlar, kütüphanenin baş geliştiricisinin ele geçirilen kimlik bilgilerini kullanarak, tespit edilip kaldırılmadan önce etkilenen sistemlere truva atı kodu enjekte eden kötü amaçlı sürümlerini yayımladı. Buna paralel olarak, ScarCruft, Çin’in Yanbian bölgesine hizmet veren bir oyun platformunu ele geçirdi; bu platformun amacı, muhtemelen mülteciler ve kaçaklar dâhil olmak üzere Kuzey Kore rejiminin ilgilendiği kişiler hakkında istihbarat toplamaktı.
Rusya yanlısı tehdit aktörleri, ağırlıklı olarak Ukrayna’ya ve ülkenin savunma çabalarıyla bağlantılı kuruluşlara odaklanmaya devam etti. Sednit, Ukrayna askeri personeli, drone üreticileri ve drone araştırma ve geliştirme faaliyetlerinde bulunan kuruluşlara karşı Covenant ve BeardShell implantlarını kullanırken Ukrayna dışındaki lojistik ve nakliye şirketlerini de hedef aldı. Sandworm, kış boyunca yıkıcı faaliyetlerini yoğunlaştırdı ve Ukrayna’da hükümet ve özel sektör hedeflerine karşı birkaç yeni wiper programı dağıttı. Özellikle dikkat çeken, Aralık 2025’te bir Polonya enerji şirketini etkileyen veri imha olayıydı; bu olayı Sandworm’a atfediyoruz. Ukrayna dışındaki Rusya yanlısı aktörlerin yıkıcı saldırıları nadir olmakla birlikte, bu vaka bir NATO üye devletindeki kritik altyapıyı etkilediği için öne çıkıyor. Polonya’nın Ukrayna’nın elektrik tedarikini istikrara kavuşturmadaki rolü göz önüne alındığında operasyonun kış aylarında Ukrayna’nın elektrik şebekesini zorlamak amacıyla gerçekleştirilmiş olması muhtemeldir.
Ayrıca daha az bilinen ve kaynağı belirlenemeyen grupların gerçekleştirdiği birkaç dikkat çekici kampanyayı da takip ettik. Bunlar arasında bir Japon düşünce kuruluşuna yönelik “tarayıcı içinde tarayıcı” türünde bir oltalama saldırısı, çatışma izleme özellikleri sunduğunu iddia eden uygulamalar aracılığıyla Arapça konuşan kullanıcıları hedef alan ve Asin adını verdiğimiz bir Android casus yazılımı ve Birleşik Arap Emirlikleri’ndeki bir savunma şirketinin SmartOffice CRM sunucusu aracılığıyla ele geçirilmesi ve ardından özel bir sonradan istismar ve ters proxy araçlarının kullanılması yer almaktadır.
ESET ürünleri, müşterilerimizin sistemlerini bu raporda açıklanan kötü amaçlı faaliyetlerden korur. Burada paylaşılan istihbarat, çoğunlukla ESET’in tescilli telemetri verilerine dayanmaktadır ve ESET araştırmacıları tarafından doğrulanmıştır.
Hedef alınan ülkeler ve sektörler
Saldırı kaynakları
ESET APT Faaliyet Raporları, ESET Tehdit İstihbaratı APT Raporlarında sunulan siber güvenlik istihbarat verilerinin yalnızca bir kısmını içermektedir. Daha fazla bilgi için ESET Tehdit İstihbaratı web sitesini ziyaret edin.
Raporun tamamına buradan erişebilirsiniz.
Yapay zekâ kullanarak sağlık tavsiyesi almanın riskleri
Veri Güvenliği: Siber sigorta neden yeterli değil?
