Siber güvenlik alanında dünya lideri olan ESET, Nisan-Eylül 2025 periyodunu kapsayan gelişmiş kalıcı tehdit (APT) raporunu yayımladı. Çin ile ilişkili APT kümeleri, Pekin’in jeopolitik amaçlarını ilerletmeye devam ederek “ortadaki düşman” tekniğinin kullanımını artırdı ve birkaç Latin Amerika ülkesindeki hükümetleri gaye aldı. Rusya ile ilişkili APT kümeleri, Ukrayna ve birkaç Avrupa Birliği üye ülkesine yönelik operasyonlarını ağırlaştırdı ve operasyonlarını genişletti. Rusya ile temaslı bir tehdit aktörü olan InedibleOchotense, ESET’i taklit eden bir spearphishing kampanyası yürüttü.
ESET Research, ESET araştırmacıları tarafından Nisan-Eylül 2025 tarihleri ortasında belgelenen seçkin APT kümelerinin faaliyetlerini vurgulayan en son APT Faaliyet Raporunu yayımladı. İzlenen devirde, Çin ile ilişkili APT kümeleri Pekin’in jeopolitik maksatlarını ilerletmeye devam etti. ESET, FamousSparrow kümesinin, Trump idaresinin Latin Amerika’ya olan stratejik ilgisine bir cevap olarak ve muhtemelen devam eden ABD-Çin güç gayretinin tesiriyle hem birinci erişim hem de yanal hareket için giderek artan bir biçimde “ortadaki düşman” tekniğini kullandığını gözlemledi. FamousSparrow kümesi, Latin Amerika’ya bir atak başlattı ve bölgedeki birçok devlet kurumunu maksat aldı. Avrupa genelinde, hükümet kurumları, Rusya ile ilişkili APT kümelerinin Ukrayna ve birkaç Avrupa Birliği üye ülkesine yönelik operasyonlarını yoğunlaştırmasıyla siber casusluğun ana odak noktası olmaya devam etti.
Özellikle, Rusya ile ilişkili kümelerin Ukrayna dışındaki maksatları bile Ukrayna ile stratejik yahut operasyonel irtibatlar sergiledi ve bu da ülkenin Rusya’nın istihbarat eforlarının merkezinde yer almaya devam ettiği fikrini pekiştirdi. RomCom, WinRAR’daki bir sıfır gün güvenlik açığını istismar ederek makûs hedefli DLL’ler dağıttı ve AB ve Kanada’daki finans, imalat, savunma ve lojistik kesimlerine odaklanan çeşitli art kapılar sağladı. Sıfır gün istismarları kıymetli olduğundan hem Gamaredon hem de Sandworm kümeleri, çok daha ucuz olan spearphishing tekniğini birincil hücum sistemi olarak kullandı. Gamaredon, operasyonlarının yoğunluğu ve sıklığında besbelli bir artışla Ukrayna’yı maksat alan en etkin APT kümesi olmaya devam etti. Emsal biçimde, Sandworm da Ukrayna’ya odaklandı — lakin Gamaredon’un siber casusluk faaliyetlerinden farklı olarak yıkım maksatlıydı. Büyük ölçüde hükümet, güç, lojistik ve tahıl dallarına ağırlaştı. Beklenen amacı Ukrayna iktisadını zayıflatmaktı.
Belarus ile irtibatlı FrostyNeighbor kümesi, Roundcube’deki bir XSS güvenlik açığını istismar etti. Polonya ve Litvanya şirketleri, Polonya şirketlerini taklit eden spearphishing e-postalarının maksadı oldu. E-postalar, yapay zekâ tarafından oluşturulan içeriği anımsatan bir yapıya sahip, bariz bir halde kullanılan ve birleştirilen unsur işaretleri ve emojiler içeriyordu. Bu da kampanyada yapay zekânın kullanılmış olabileceğini düşündürüyor. Teslim edilen yükler ortasında bir kimlik bilgisi hırsızı ve bir e-posta iletisi hırsızı bulunuyordu.
ESET Tehdit Araştırmaları Yöneticisi Jean-Ian Boutin, “İlginç bir halde, Rusya ile kontaklı bir tehdit aktörü olan InedibleOchotense, ESET’i taklit eden bir spearphishing kampanyası yürüttü. Bu kampanya, Kalambur art kapısı ile birlikte legal bir ESET eserinin indirilmesine yol açan trojanize bir ESET yükleyicisi içeren e-postalar ve Signal bildirilerini içeriyordu. Çin ile kontaklı kümeler, ESET araştırmacıları tarafından son vakitlerde Asya, Avrupa, Latin Amerika ve ABD’de gözlemlenen kampanyalarla hayli faal olmaya devam ediyor. Bu global yayılma, Çin ile irtibatlı tehdit aktörlerinin, Pekin’in mevcut jeopolitik önceliklerini desteklemek için harekete geçirilmeye devam ettiğini gösteriyor.” açıklamasını yaptı.
Asya’da APT kümeleri, evvelki raporlama periyodunda olduğu üzere hükümet kurumlarının yanı sıra teknoloji, mühendislik ve imalat dallarını gaye almaya devam etti. Kuzey Kore ile irtibatlı tehdit aktörleri, Güney Kore ve teknoloji dalına, bilhassa de rejimin değerli bir gelir kaynağı olan kripto para ünitesine yönelik operasyonlarda hayli etkin olmaya devam etti.
ESET, Haziran ve Eylül ayları ortasında FamousSparrow’un Latin Amerika’da çoğunlukla devlet kurumlarına yönelik çeşitli operasyonlar yürüttüğünü de gözlemledi. Bunlar, ESET’in bu periyotta kümeye atfettiği faaliyetlerin büyük bir kısmını oluşturuyor ve bu bölgenin son aylarda kümenin ana operasyonel odak noktası olduğunu gösteriyor. Bu faaliyetler, Trump idaresinin Latin Amerika’ya olan ilgisinin yine canlanmasıyla bölgede şu anda devam eden ABD-Çin güç uğraşıyla kısmen irtibatlı olabilir. Genel olarak, FamousSparrow’un “Latin Amerika turu”nda gözlemlenen kurbanlar ortasında Arjantin’deki birçok devlet kurumu, Ekvador’daki bir devlet kurumu, Guatemala’daki bir devlet kurumu, Honduras’daki birçok devlet kurumu ve Panama’daki bir devlet kurumu bulunmaktadır.
ESET eserleri, müşterilerinin sistemlerini bu raporda açıklanan berbat hedefli faaliyetlerden korur. Burada paylaşılan istihbarat, çoğunlukla ESET’in tescilli telemetri datalarına dayanmaktadır. Ayrıyeten belli APT kümelerinin faaliyetlerini detaylı olarak açıklayan derinlemesine teknik raporlar ve sık faaliyet güncellemeleri hazırlayan ESET araştırmacıları tarafından doğrulanmıştır. ESET APT Raporları olarak bilinen bu tehdit istihbaratı tahlilleri, vatandaşları, kritik ulusal altyapıyı ve yüksek bedelli varlıkları hatalıların ve devletlerin yönettiği siber akınlardan korumakla vazifeli kuruluşlara yardımcı olmaktadır.
ESET APT Raporları ve yüksek kaliteli, harekete geçirilebilir taktik ve stratejik siber güvenlik tehdit istihbaratı sağlama konusunda daha fazla bilgi için ESET Tehdit İstihbaratı sayfasına bakabilirsiniz.
Kaynak: (BYZHA) Beyaz Haber Ajansı