Endgame Operasyonu: Amadey ve Stealc’i etkisiz hâle getirmek

ESET araştırmacıları Endgame operasyonunda teknik analiz, altyapı takibi ve iş ortakları düzeyinde içgörüler sağlayarak Amadey botneti ve Stealc bilgi hırsızının küresel çapta etkisiz hâle getirilmesine yardımcı oldu

Bir yıl önce, ESET Araştırma ekibi, o dönemde önde gelen siber suç operasyonlarından bazılarını, yani Lumma Stealer ve Danabot’u çökertmeye yönelik iki büyük operasyona katıldı. Son zamanlarda, araştırmacılarımız bir kez daha özel sektör ortakları ve kolluk kuvvetleriyle iş birliği yapıyor; ancak bu sefer hedefleri, her ikisi de “hizmet olarak kötü amaçlı yazılım” (MaaS) teklifleri aracılığıyla sunulan Amadey botneti ve Stealc bilgi hırsızı. Microsoft Dijital Suçlar Birimi (DCU), BitSight, Lumen, Mitsui Bussan Secure Directions (MBSD) ve diğer ortaklar tarafından koordine edilen “Operation Endgame”, Amadey ve Stealc iş ortakları tarafından kullanılan tüm bilinen ağ altyapısını hedef alarak, bu grupların siber suç faaliyetlerini felce uğratmayı amaçladı.

ESET, her iki kötü amaçlı yazılım ailesini uzun vadeli olarak takip ettiğimiz süreçte topladığımız teknik analizler, istatistiksel bilgiler, bilinen komuta ve kontrol (C&C) sunucuları, şifreleme anahtarları, kampanya ve derleme tanımlayıcıları ile diğer tehdit istihbaratlarını paylaşarak bu çabaya katkıda bulunmuştur.

Bu blog yazısının ana noktaları:

ESET, Amadey ve Stealc’i etkisiz hâle getirmek amacıyla düzenlenen koordineli, küresel Endgame operasyonuna katıldı.
Endgame operasyonu, Amadey ve Stealc ile ilişkili yaklaşık 50 etki alanı ve 200’e yakın aktif IP tabanlı C&C sunucusunu etkiledi.
ESET, teknik analizler, istatistiksel bilgiler, bilinen C&C sunucuları, şifreleme anahtarları, kampanya tanımlayıcıları ve diğer içgörüler sağladı.
Her iki kötü amaçlı yazılım ailesi için de iş ortağı düzeyinde MaaS ekosistemine genel bir bakış sunuyoruz.
Amadey ve Stealc faaliyetlerini nasıl gruplandırdığımızı açıklıyoruz.
C&C iletişimleri, gömülü tanımlayıcılar ve şifreleme anahtarları dâhil olmak üzere, izleme ve engellemeyle en ilgili teknik özellikleri özetliyoruz.
Amadey ile Lumma Stealer’ın bağlı kuruluşlarının faaliyetleri arasındaki örtüşmeleri detaylı olarak ele alıyoruz.

Engelleme katkısı

ESET Research, son üç yıldır hem Amadey botnetini hem de Stealc bilgi hırsızını takip etmektedir. Bu engelleme operasyonu için işlenmiş kötü amaçlı yazılım örneklerinden çıkarılan teknik göstergeler ve yapılandırma verilerinin yanı sıra 2025’in 4. çeyreğinden 2026’nın ilk yarısına kadar olan dönemi kapsayan istatistikleri paylaştık.

Otomatik sistemlerimiz, Amadey ve Stealc örneklerini ayrıntılı olarak inceliyor ve büyük ölçekli izleme için en ilgili alanları belirliyor. Bunlar arasında C&C sunucuları, derleme tanımlayıcıları, şifreleme anahtarları, URL yolları, kampanya tanımlayıcıları ve kötü amaçlı yazılım ailelerinin saldırganların kontrolündeki altyapıyla iletişim kurarken kullandığı diğer gömülü değerler yer alıyor.

Çalışmamızın ana odak noktalarından biri, işlenen büyük hacimli örnekleri yönetmek ve bunları kümelemek için güvenilir yöntemler bulmaktı. Bu hem Amadey hem de Stealc’in hizmet olarak satılması nedeniyle özellikle yararlı oldu. Bu nedenle, kötü amaçlı yazılım örnekleri, genellikle kendi altyapılarını işleten, kendi derlemelerini oluşturan veya talep eden ve kendi kampanyalarını yöneten iş ortakları tarafından dağıtılıyor ve işletiliyor. Bu tür ekosistemlerdeki faaliyet kümelerini belirlemek, bu tür engelleme operasyonları için yüksek öncelikli hedefleri tespit etmemizi sağlıyor.

Teknik analizlerin, istatistiksel bilgilerin ve C&C sunucu listeleri, bağlı kuruluş tanımlayıcıları ve şifreleme anahtarları gibi tehdit istihbaratının paylaşılması, kolluk kuvvetlerinin altyapıları yüksek bir güven derecesiyle tespit etmelerine, önceliklendirmelerine ve bunlara karşı harekete geçmelerine olanak tanır. IoC’ler ayrıca tek tek kümeler, paylaşılan altyapılar ve devre dışı bırakılmasının genel tehdit ortamı üzerinde en büyük etkiyi yaratması muhtemel yüksek etkili botnetler arasında ayrım yapılmasına da yardımcı olur. Sonuç olarak, bu operasyon Amadey veya Stealc için C&C sunucusu olarak kullanılan yaklaşık 50 alan adı ve 200’e yakın aktif IP adresini etkiledi.

Etkilenen kötü amaçlı yazılım aileleri

Amadey, modüler bir kötü amaçlı yazılım yükleyicisidir. Ana amacı, ele geçirilmiş sistemlere ek kötü amaçlı yazılımlar dağıtmak olmakla birlikte, veri sızdırma ve uzaktan erişim için modüller de sunar.

Buna karşılık Stealc, tipik bir “hizmet olarak bilgi hırsızlığı” yazılımıdır. Kimlik bilgileri, çerezler, kripto para cüzdanları, tarayıcı uzantıları ve adları iş ortakları tarafından tanımlanan kalıplara uyan dosyaları hedef alır.

Her iki kötü amaçlı yazılım ailesi de hizmet olarak satılmakta ve darknet forumlarında tanıtılmaktadır. Darknet forumlarına ilişkin görünürlük sağlamak için yeraltı topluluklarını izleyen bir tehdit istihbarat platformu olan Flare.io’yu kullandık. Her iki ekosistemde de iş ortaklarına kendi sunucu altyapılarına kurulması gereken, kendi barındırdıkları bir yönetim paneli verilmektedir. Bu, iş ortaklarından belirli bir düzeyde teknik beceri gerektirir ve aynı zamanda onlara kurban verileri ve yük dağıtımı üzerinde doğrudan kontrol sağlar.

Bu model, diğer MaaS ekosistemlerinden farklıdır. Örneğin, Danabot iş ortakları C&C altyapısını bir hizmet olarak kiralamayı tercih edebilirken Lumma Stealer ise operatörleri tarafından tamamen yönetilen bir veri sızdırma ağı kullanıyordu. Amadey ve Stealc durumunda ise iş ortakları kendi altyapılarını kurmak ve işletmekten sorumludur; bu da engelleme çabalarını zorlaştırmaktadır. İşte bu nedenle kümeleme yaklaşımı hayati önem taşımaktadır.

Dağıtım yöntemleri nihai olarak her bir iş ortağına bağlı olsa da ESET telemetri verileri her iki kötü amaçlı yazılım ailesinin de çok çeşitli kanallar aracılığıyla dağıtıldığını tutarlı bir şekilde göstermiştir. En yaygın yöntemler arasında sahte yazılım güncellemeleri, kırılmış yazılım yükleyicileri ve üçüncü taraf kötü amaçlı yazılım yükleyicileri yer almaktadır.

Amadey, “yeniden derleme başına ödeme” modelini kullanıyordu. Ortaklar bir lisans satın aldıktan sonra, örneğin yeni bir C&C sunucusuna geçiş yaparken yeni bir derleme oluşturmaları gerektiğinde her seferinde ek bir ücret ödüyordu. Başka bir deyişle Amadey operatörleri ortaklara bir derleme aracı sağlamıyordu; bunun yerine, örnekler her ortak için talep üzerine derleniyordu.

Stealc ise iş ortaklarına daha dostane bir yaklaşım benimsemiş ve abonelik kapsamında sınırsız derleme oluşturma imkânı sunmuştur ( Şekil 1 ). Bu, C&C altyapısını değiştirmenin operasyonel maliyetini düşürmüş ve iş ortaklarının ihtiyaç duydukları anda yeni örnekler oluşturmalarını kolaylaştırmıştır.

ESET araştırmacıları Endgame operasyonuna katılarak Amadey botneti ve Stealc bilgi hırsızının küresel çapta etkisiz hâle getirilmesine yardımcı oldu

Şekil 1 . Stealc panelinde oluşturma özelliği

Kimlik sahtekârlığı dolandırıcılıklarından kaçınmak amacıyla her iki hizmetin işletmecileri de darknet forumlarındaki potansiyel iş ortaklarına, kendileriyle yalnızca resmî kanallar üzerinden iletişime geçmeleri konusunda açıkça talimat verdiler. Amadey, alıcıları reklamının yapıldığı darknet forumundaki özel mesajlara yönlendirirken Stealc ise darknet forumlarındaki özel mesajları veya Telegram’ı kullandı.

Amadey

Amadey, Ekim 2018’den bu yana InCrease kullanıcı adıyla darknet forumlarında tanıtılan modüler bir kötü amaçlı yazılım yükleyicisidir. Zamanla, darknet forum kanalları aracılığıyla sağlanan sürekli destekle, en istikrarlı ve aktif olarak güncellenen kötü amaçlı yazılım ailelerinden biri hâline gelmiştir.

Şekil 2 ‘de gösterilen telemetri tespit oranımız , Amadey’in belirli bir bölgeye odaklanmaksızın küresel olarak gözlemlendiğini göstermektedir; ancak en yüksek tespit oranları Hindistan, Türkiye, Mısır, Meksika ve İspanya’da gözlemlenmiştir.

Şekil 2 . Amadey’in dağılımı – tespit ısı haritası (2025–günümüz)

Amadey’in temel işlevi, kurbanlara ek kötü amaçlı yazılım dağıtmaktır. Bunun yanı sıra daha fazla veri sızdırma ve erişim için üç modül sunar: Panoya izleme, kimlik bilgisi hırsızlığı ve VNC tabanlı uzaktan erişim.

Hizmetin tek bir lisans için fiyatı 600 ABD dolarıdır ve Bitcoin ile ödenir; her yeniden derleme için ek olarak 50 ABD doları ücret alınır. Bu, iş ortaklarının yeni bir C&C sunucusuna geçiş yaparken olduğu gibi, her yeni derleme oluşturduklarında bir maliyetle karşı karşıya kaldıkları anlamına gelir. Bu fiyatlandırma, ilk tanıtılan sürümlerden bu yana büyük ölçüde değişmemiştir; bu da istikrarlı ve yerleşik bir müşteri tabanına işaret etmektedir.

Yıllar boyunca Amadey’in sürekli sürüm güncellemeleri ( Şekil 3 ) ve aktif geliştirme sürecini gözlemledik. Amadey’in geliştirilmesindeki en önemli dönüm noktası, tüm kod tabanının tamamen yeniden yazıldığı Ağustos 2020’de (v1.99.5) gerçekleşti. İkinci büyük gelişme, Ekim 2024’te v5.03 sürümünün piyasaya sürülmesiyle gerçekleşti; bu sürüm, ters bağlantı özelliğine sahip hVNC, MSI sessiz yükleyici desteği, RDP etkinleştirme, SYSTEM ayrıcalıklarıyla cmd.exe çalıştırma ve şifreli yükler için entegre destek gibi yoğun bir dizi yeni yetenek getirdi. Genel olarak, diğer daha küçük güncellemelerin çoğu, ortaya çıktıkça antivirüs tespitlerinden kaçınmak gibi örtük ama sürekli bir amaca hizmet etti.

Şekil 3 . Amadey sürümleri zaman çizelgesi

Teknik genel bakış

Her Amadey örneği, en az bir adet sabit kodlanmış C&C sunucu URL’si içerir ve yapılandırma en fazla üç girişi destekler. Örnekler ayrıca C&C sunucusuyla iletişimi şifrelemek için kullanılan bir RC4 anahtarı da barındırır.

Analizimiz, her örnekten çıkarılan RC4 anahtarının güvenilir bir küme tanımlayıcı işlevi gördüğünü ve örnekleri ayrı botnetler hâlinde kümelememize olanak tanıdığını göstermiştir; bu konuyu Kümeleme bölümünde daha ayrıntılı olarak ele alacağız.

İçeride “sd” olarak adlandırılan ikinci bir sabit kodlanmış değer, [0-9a-f]{6} desenine uyan, rastgele görünümlü altı karakterlik bir onaltılık dizidir. Bu değer, ilk C&C el sıkışma işlemi sırasında iletilir ve büyük olasılıkla bir iş ortağının dağıtımındaki belirli bir derlemeyi tanımlar. Araştırmacılar tarafından bazen kampanya kimliği veya Amadey kimliği olarak adlandırılsa da Amadey’in derleme başına ödeme iş modeli, bunun daha doğru bir şekilde bir derleme tanımlayıcısını temsil ettiğini göstermektedir.

Her örnek ayrıca bir sürüm numarası da taşır. Analizimiz, 2025 yılının başından bu yana ESET telemetrisinde gözlemlenen baskın varyant olan v5.x sürümüne odaklanmaktadır.

Bu bot, kurbanın klavye düzenini de kontrol eder. Eğer bu düzen bir CIS ülkesiyle ilişkili bir düzenle eşleşirse tüm ağ iletişimi sessizce reddedilir. Doğu Avrupa’dan faaliyet gösteren tehdit aktörleri, bölgedeki işletmeleri ve devlet kurumlarını etkilemekten kaçınmak için genellikle bu tür yerleşik güvenlik önlemlerini kullanır; bu da yerel yetkililer tarafından dikkat çekme veya kovuşturma riskini azaltır. Buna ek olarak, bu operatörler genellikle “kendi halkını” hedef aldıkları veya hizmetlerinin tanıtıldığı darknet forumlarının kurallarını ihlal ettikleri için meslektaşlarından gelebilecek olası tepkilerden kaçınmak amacıyla bu tür uygulamaları takip ederler.

Bu bölüm, Amadey hakkında yalnızca genel bir bakış sunmaktadır; zira derinlemesine teknik analiz, Swisscom raporunda daha önce yayımlanmıştır.

C&C iletişimi

Amadey, C&C sunucusuyla HTTP üzerinden POST istekleri kullanarak iletişim kurar. Genel olarak, iletişim üç aşamalı bir döngü izler:

İlk sinyal – bot, C&C sunucusuna minimal bir st=s HTTP POST isteği gönderir. Sunucu, örneğin <c>10<d> gibi bir bekleme aralığıyla yanıt vererek, bota sonraki kontrol işlemleri arasında 10 dakika beklemesi talimatını verir.
Kayıt – bot, düz bir anahtar-değer dizesi olarak kodlanmış, RC4 ile şifrelenmiş sistem bilgilerini iletir. Bu veriler arasında işletim sistemi sürümü, kullanıcı adı, bilgisayar adı, yüklü antivirüs ürünü, yönetici ayrıcalıkları, sd değeri ve diğer ana bilgisayar bilgileri yer alır. Özellikle, RC4 anahtarının kendisi hiçbir zaman ağ üzerinden iletilmez. Telemetri verilerimize göre, aynı anda birden fazla RC4 anahtarı için görev dağıtan hiçbir sunucu gözlemlenmemiştir; bu da her bir örneğin, o RC4 anahtarını zaten bilen ve bekleyen bir C&C sunucusuyla iletişim kurması gerektiğini göstermektedir. Sunucu, bir görev listesi ile yanıt verir.
Görevlendirme – görevler, Şekil 4 ‘te gösterildiği gibi, <c> ve <d> etiketleriyle sınırlandırılmış ve tek tek komutlar # karakterleriyle ayrılmış yapılandırılmış komut dizeleri olarak iletilir. Her görev, bir EXE dosyasını indirme ve çalıştırma, VNC’yi başlatma veya bir bilgi hırsızlığı eklentisini çalıştırma gibi bir komut türünü kodlar. Görevler ayrıca ayrıcalık yükseltme bayrağı, hedef dizin ve yük URL’si gibi parametreleri de içerir.

Her görevin, basit indirme ve çalıştırma komutlarından hVNC veya proxy bileşenlerinin daha karmaşık çalıştırılmasına kadar uzanan kendine özgü işleme mantığı vardır. İç işleyişi, önceki teknik raporlarda belgelenmiştir.

Şekil 4 . Amadey C&C iletişiminde, sınırlandırılmış şifreli görevlerin vurgulanmış listesi

Kümeleme

MaaS kötü amaçlı yazılımlarını izlerken karşılaşılan temel zorluklardan biri, aynı tehdit aktörüne ait örnekleri gruplandırmanın güvenilir bir yolunu bulmaktır. Bu nedenle, iş modelini ve ağ altyapısının dağılımını anlamak, başarılı bir müdahale için hayati önem taşır; çünkü bu, savunma uzmanlarının ve kolluk kuvvetlerinin, alınacak önlemlerin en büyük etkiyi yaratacağı kritik noktaları belirlemelerine olanak tanır. Bu bölümde, metodolojimizi açıklıyoruz.

Amadey örnekleri, sabit kodlanmış üç temel yapılandırma değeri içerir:

C&C URL’leri,
C&C iletişimleri için kullanılan RC4 anahtarları ve
İlk C&C el sıkışma işlemi sırasında iletilen sd değeri.

İzleme çalışmalarımız sırasında, Amadey C&C URL’lerinin tutarlı bir kalıba uyduğunu fark ettik:

http(s)?://<C&C>/<random_path>/index.php

Ayrıca aynı <random_path> URL parçası farklı C&C sunucularında kullanıldı (Şekil 5). Bu değer rastgele bir dize gibi göründüğünden, zaman içinde birden fazla C&C sunucusuyla bağlantılı olarak görülmesi, C&C sunucularının aynı kümenin parçası olarak işletildiğinin güçlü bir göstergesi gibi görünüyordu. Bu nedenle, C&C URL’sini şu iki parçaya ayırdık: IP adresi veya etki alanı ve <random_path> URL’si.

Şekil 5 . Amadey C&C sunucu URL’lerinde <random_path> tanımlayıcılarına örnekler

Örneklerin yapılandırmasından elde edilen değerleri, bunların amacına dair bilgimizle birleştirerek, Amadey ekosisteminin yapısı hakkında içgörü elde etmek için grafik modellemesinden yararlandık. Şekil 6 ’ya ilk bakışta, gerçekten de ortak bir altyapı bulunmadığını, bunun yerine birkaç küçük alt botnetin mevcut olduğunu ve bunlardan birinin açıkça baskın olduğunu net bir şekilde görüyoruz. Bir sonraki bölümde bu en büyük kümeye daha derinlemesine ineceğiz.

Şekil 6 . ESET telemetrisine dayalı Amadey bağlı botnet kümelenmesi

Sonuç olarak, öne çıkan noktalar şunlardır:

Amadey ekosisteminde toplam 53 benzersiz küme tespit ettik.
Her sd değeri tam olarak bir RC4 anahtarına bağlıdır.
Yeniden oluşturma işlemleri sd değerini değiştirirken anahtarı koruduğu için RC4 anahtarları muhtemelen yararlı bir bağlı kuruluş tanımlayıcısıdır.
C&C URL’sindeki <random_path> kısmı, C&C sunucuları değiştirilirken zaman zaman yeniden kullanılır ve bu tür C&C sunucularının aynı kümeye ait olduğuna dair güvenilir bir kanıt görevi görür.

En büyük Amadey botnet kümesi

Bir küme en büyük küme olarak öne çıkmaktadır ve işlenen tüm Amadey örneklerinin yaklaşık %34’ünü oluşturmaktadır. Bu küme, adresindeki zaman çizelgemizde gösterildiği gibi, analiz edilen tüm zaman dilimi boyunca aktif olan tek kümeydi (Şekil 7).

Şekil 7 . En büyük 10 Amadey botnetinin etkinliği (en büyüğü en üstte)

En büyük botnet, her yürütme başına kurbanlara dağıtılan ortalama yük sayısında da başı çekmiştir. Kümeleme metodolojimize göre, en büyük botnete ait Amadey örnekleri, her kurbana ortalama olarak aynı anda yaklaşık 14 yük dağıtmıştır (Şekil 8).

Şekil 8 . Amadey yürütme başına dağıtılan ortalama yük sayısına göre ilk beş botnet

Dağıtılmış kötü amaçlı yazılım ailelerinin kapsamı ve çeşitliliği, bilgi hırsızlarından (infostealers) ve uzaktan erişim araçlarından (RAT’lar) karmaşık kod koruyucularla donatılmış kötü amaçlı yazılımlara kadar oldukça genişti. Şekil 9, izleme dönemi boyunca dağıtıldığını tespit ettiğimiz yükler hakkında bir fikir vermektedir.

Şekil 9 . En büyük Amadey botnetinin yük dağılımı

Ayrıca ESET araştırmacıları, tek bir kurbana birçok kez farklı iş ortaklarına atfedilen birden fazla Lumma Stealer örneğinin dağıtıldığına dair kanıt elde etmiştir (önceki Lumma Stealer araştırmamıza bakınız). Bu durum, birden fazla Lumma Stealer iş ortağının aynı çalınan verilere sahip olmasına yol açmaktadır. Bu gözlem, bu en büyük kümeyi kontrol eden tehdit aktörlerinin muhtemelen kendi kurulum başına ödeme (PPI) modelini uyguladıkları ve botlarından daha fazla gelir elde ettikleri sonucuna varmamızı sağlamaktadır.

Stealc

Amadey’in aksine, Stealc bir bilgi hırsızının tipik bir temsilcisidir. Web tarayıcıları, e-posta istemcileri, FTP istemcileri, oyun platformları, kripto para cüzdanı dosyaları ve tarayıcı uzantıları tarafından depolanan kimlik bilgileri dâhil olmak üzere çok çeşitli veri kaynaklarını hedef alır.

Stealc, Şubat 2023’te bir darknet forumunda tanıtıldı ve biz de kısa süre sonra onu izlemeye başladık. Şekil 10 adresinde gösterilen telemetri tespit oranımız, Stealc’in belirli bir bölgeye odaklanmadan küresel olarak yayıldığını göstermektedir. En yüksek tespit oranları ABD, Polonya ve İtalya’da gözlemlenmiştir.

Şekil 10 . Stealc’in dağılımı – tespit ısı haritası (2025–günümüz)

Stealc, plymouth takma adını kullanan bir tehdit aktörü tarafından tanıtılmaktadır. Operatörler, Stealc’i aktif olarak güncel tutmuşlardır; yeni bir sürüm yayımlandığında, darknet forumunda bir gönderi paylaşarak sürüm notlarını açıklamışlardır. Son üç yılda bu tür 37 sürüm yayımlanmıştır. Stealc, aylık abonelik olarak satılmaktadır ve fiyatlandırması çok az değişiklik göstermiştir:

Aylık 300 ABD doları
Üç ay için 700 ABD doları
Altı ay için 1.000 ABD doları

Mart 2025’te Stealc, sürüm 2 ile önemli bir mimari güncelleme aldı; bu güncelleme, ağ protokolünde ve yapılandırma yapısında önemli değişiklikler getirdi ve o zamandan beri bu sürüm telemetri verilerimizde baskın konumda yer almaktadır. Haziran 2026 itibarıyla adresinde gösterildiği üzere sürüm 2.22.1’e ulaşmıştı (Şekil 11).

Şekil 11 . Stealc sürüm zaman çizelgesi

Ana hedeflerinin yanı sıra Stealc, iş ortaklarının ele geçirilen makinelerden sızdırılacak dosyaları tanımlayan özel desenler belirlemelerine olanak tanıyan, yapılandırılabilir bir dosya toplayıcı içerir. C&C iletişimleri ve gömülü dizeleri, her derleme için ayrı anahtarlar kullanılarak RC4 şifreleme ile korunmaktadır.

Stealc, tek bir standart dağıtım yöntemine bağlı değildir; her bir iş ortağı kendi dağıtım mekanizmalarından sorumludur. Ancak Amadey’e benzer şekilde, telemetri verilerimiz belirli vektörlerin sürekli olarak öne çıktığını göstermektedir; özellikle de trojanlaştırılmış yazılım yükleyicileri ve yerleşik kötü amaçlı yazılım yükleyicileri (Amadey gibi).