Küresel siber saldırılar hız kesmiyor, taktik ve hedefler değişiriyor
ESET'in yayımladığı son APT Faaliyet Raporu, jeopolitik gerilimlerin siber alana nasıl yansıdığını gösteriyor. Rusya ile bağlantılı tehdit aktörleri Ukrayna merkezli operasyonlarını AB'ye genişletirken, FamousSparrow ise "ortadaki düşman" tekniğiyle Latin Amerika hükümetlerini hedef aldı.
Siber güvenlik alanında faaliyet gösteren ESET, Nisan-Eylül 2025 dönemini kapsayan gelişmiş kalıcı tehdit - APT raporunu yayımladı. Rapor, devlet destekli APT gruplarının artan faaliyetlerini ve değişen jeopolitik hedeflere göre adapte olan yeni taktiklerini ortaya koyuyor.
İzlenen dönemde, Çin ile bağlantılı APT grupları, Pekin'in jeopolitik hedeflerini ilerletmeye devam etti. Özellikle FamousSparrow grubu, hem ilk erişim hem de yanal hareket için giderek artan bir şekilde "ortadaki düşman" tekniğini kullandı. ESET, bu grubun Latin Amerika'ya bir saldırı başlattığını ve Arjantin, Ekvador, Guatemala, Honduras ve Panama'daki birçok devlet kurumunu hedef aldığını gözlemledi. Bu faaliyetlerin, ABD-Çin arasındaki güç mücadelesiyle bağlantılı olabileceği belirtiliyor.
Asya'da ise APT grupları, hükümet kurumlarının yanı sıra teknoloji, mühendislik ve imalat sektörlerini hedef almaya devam etti. Kuzey Kore bağlantılı aktörler ise Güney Kore ve kripto para birimi operasyonlarında aktif kaldı.
Rusya bağlantılı gruplardan yoğun Avrupa operasyonları
Rusya ile bağlantılı APT grupları, Ukrayna ve birkaç Avrupa Birliği üye ülkesine yönelik operasyonlarını yoğunlaştırdı. Gamaredon grubu, operasyonlarının yoğunluğu ve sıklığında belirgin bir artışla Ukrayna'yı hedef alan en aktif APT grubu olmaya devam etti. Sandworm ise siber casusluktan farklı olarak yıkım amaçlı saldırılara odaklanarak Ukrayna ekonomisini zayıflatmayı hedefledi ve enerji, lojistik ile tahıl sektörlerine yoğunlaştı.
Ayrıca, RomCom grubu WinRAR'daki bir sıfır gün güvenlik açığını istismar ederek AB ve Kanada'daki finans, imalat ve savunma sektörlerine arka kapılar yerleştirdi. İlginç bir gelişme olarak, Rusya bağlantılı bir tehdit aktörü olan InedibleOchotense, meşru bir ürünün indirilmesine yol açan trojanize bir ESET yükleyicisi içeren e-postalarla ESET'i taklit eden bir spearphishing kampanyası yürüttü.
Belarus ve yapay zeka şüphesi
Belarus ile bağlantılı FrostyNeighbor grubu, Roundcube'deki bir XSS güvenlik açığını istismar etti. Polonya ve Litvanya şirketlerini taklit eden spearphishing e-postaları, yapay zekâ tarafından oluşturulan içeriği anımsatan belirgin madde işaretleri ve emojiler içeriyordu. Bu durum, kampanyada yapay zekânın kullanılmış olabileceği şüphesini doğuruyor.
ESET Tehdit Araştırmaları Direktörü Jean-Ian Boutin "Çin ile bağlantılı grupların Asya, Avrupa, Latin Amerika ve ABD'de gözlemlenen kampanyalarla oldukça aktif olmaya devam etmesi, bu aktörlerin Pekin'in mevcut jeopolitik önceliklerini desteklemek için harekete geçirildiğini gösteriyor" açıklamasını yaptı.