ESET Research APT Raporu: Çin yanlısı gruplar Venezuela ve Körfez bölgesinde casusluk yapıyor, Güney Kore’de yapay zekâ robotik alanını hedef alıyor
Siber casuslukta yeni hedefler yapay zekâ, enerji ve savunma sektörleri
Siber güvenlik alanında dünya lideri olan ESET, Ekim 2025 – Mart 2026 dönemini kapsayan en son APT (Gelişmiş Kalıcı Tehdit) Faaliyet Raporunu yayımladı.
Çin ile bağlantılı tehdit aktörleri, Venezuela, Suriye ve Körfez ülkeleri gibi jeopolitik sıcak noktalarda da dâhil olmak üzere oldukça aktif olmaya devam etti; denizcilik ve enerji sektörlerini, Güney Kore’deki bir yapay zekâ robotik şirketini ve hükümet hedeflerini casusluk faaliyetlerine maruz bıraktı.
Birleşik Arap Emirlikleri’ndeki bir savunma şirketi ele geçirildi; muhtemelen gazetecileri hedef alan, Arapça konuşan kullanıcılar Android casus yazılımlarıyla hedef alındı. Kuzey Kore ile bağlantılı Andariel, nükleer endüstriyle ilgilenen bir şirkete saldırdı.
Rusya ile bağlantılı tehdit aktörleri, büyük ölçüde Ukrayna’ya odaklanmaya devam etti. Sednit, Ukraynalı askeri personele, drone üreticilerine ve drone araştırma ve geliştirme faaliyetlerinde bulunan kuruluşlara karşı implantlar yerleştirdi.
ESET Research, Ekim 2025’ten Mart 2026’ya kadar ESET araştırmacıları tarafından belgelenen seçilmiş APT gruplarının faaliyetlerini vurgulayan en son APT Faaliyet Raporunu yayımladı. İzlenen zaman diliminde, Çin yanlısı tehdit aktörleri dünya çapında oldukça aktif kalmaya devam etti, kısmen Pekin’in ekonomik ve güvenlik çıkarlarını etkileyen jeopolitik gelişmelerin şekillendirdiği casusluk kampanyaları yürüttü. ABD’nin Venezuela’daki askeri operasyonunun ardından ve Körfez bölgesinde devam eden istikrarsızlık ortamında, ESET, Çin yanlısı grupların Pekin’in yurtdışındaki denizcilik, enerji ve siyasi gelişmelere ilişkin görünürlüğünü artırmak için harekete geçirildiğine dair işaretler tespit etti. Kuzey Kore ile bağlantılı Andariel, nükleer enerji sektöründe faaliyet gösteren bir şirkete saldırdı.
Çin ile bağlantılı FamousSparrow, ABD müdahalesinin ardından petrol sevkiyatlarının dayanıklılığını izlemek amacıyla denizcilik işleriyle bağlantılı bir Venezüella devlet kurumunu hedef aldı. ESET, burada Suriye devlet ağını hedef alan bir başka Çin ile bağlantılı APT grubu olan SteppeDriver’ı da tespit etti. Bu faaliyet, hem Suriye’nin yeniden inşa projelerine yönelik Çin’in ticari çıkarlarını hem de ülkedeki Uygur savaşçılarla ilgili güvenlik endişelerini yansıtıyor olabilir. Çin ile bağlantılı UNC5221’in SPAWN kötü amaçlı yazılım ailesi, Kamboçya ve Panama’daki devlet kurumlarının yanı sıra Güney Kore’deki bir yapay zekâ ve robotik şirketini hedef aldı. Güney Kore’yi hedef alan bu son faaliyet, Pekin’in “Made in China 2025” endüstriyel kalkınma politikası kapsamında öncelik verilen stratejik teknolojilere olan süregelen ilgisiyle uyumlu.
2026 yılının Şubat ayı sonlarında başlayan İran’daki savaş, bu dönemde İran yanlısı faaliyetlerin en belirleyici olayı oldu. Paradoksal bir şekilde, bu çatışma, ESET telemetri verilerinde yerleşik İran yanlısı APT gruplarının faaliyetlerinde bir düşüşle aynı zamana denk geldi; bunun en olası nedeni, İran rejimi tarafından uygulanan internet kısıtlamalarının bu grupların etkin bir şekilde faaliyet gösterme kabiliyetini engellemiş olmasıdır. Aynı zamanda, bu ortam, İsrail, ABD ve Tahran’a düşman olarak görülen diğer devletleri hedef alan vekil ve hacktivist aktörlerin harekete geçmesini kolaylaştırmış görünüyor. ESET Research ayrıca daha önce bilinen gruplarla kesin olarak ilişkilendiremediği, İsrail hedeflerine yönelik faaliyetlerde olağan dışı bir artış kaydetti. Kaynağı bilinmeyen iki faaliyet kümesi, Rusty Boots ve MoKhargosh, İsrail’e karşı hem casusluk yetenekleri hem de yıkıcı potansiyel sergiledi. Bu faaliyetler arasında, daha sonra kullanılmak üzere yıkıcı araçları saklarken bootkit tarzı bir wiperı devreye sokmak da vardı.
ESET Research ayrıca Birleşik Arap Emirlikleri’ndeki bir savunma şirketinin ele geçirildiğini ve Arapça konuşan kullanıcıların Android casus yazılımlarıyla hedef alındığını tespit etti. Saldırganın Telegram kanalının adı, dünya çapındaki askeri olayları haritalamaya adanmış meşru ve tanınmış bir OSINT platformu olan Live Universal Awareness Map (Liveuamap) ‘tan esinlenmiş olabileceğinden bu saldırı muhtemelen gazetecileri veya açık kaynak istihbarat uzmanlarını hedef alıyordu.
Kuzey Kore ile bağlantılı tehdit aktörleri çeşitli cephelerde aktif olmaya devam etti. Birçok grup hem doğrudan mali kazanç hem de yazılım tedarik zincirini tehlikeye atma fırsatları sağlayabilecek sosyal mühendislik planlarıyla geliştiricileri ve kripto para ekosistemini hedef almaya devam etti. ESET ayrıca Andariel grubunun Güney Kore’ye yönelik saldırılarda yeniden ortaya çıktığını keşfetti. Grup, bu saldırılarda TigerRAT’ı kullandı ve sıvı hidrojen işleme ve nükleer enerji endüstrisiyle ilgili ekipman ürettiği görülen bir mühendislik şirketi içinde Rook fidye yazılımını yaymaya çalıştı. Bu teknolojiler, Pyongyang’ın balistik ve nükleer hedefleri açısından açıkça ilgi çekicidir.
Rusya yanlısı tehdit aktörleri, ağırlıklı olarak Ukrayna’ya ve bu ülkenin savunma çabalarıyla bağlantılı kuruluşlara odaklanmaya devam etti. Sednit, Ukrayna askeri personeli, drone üreticileri ve drone araştırma ve geliştirme faaliyetlerinde bulunan kuruluşlara karşı Covenant ve BeardShell implantlarını kullanırken Ukrayna dışındaki lojistik ve nakliye şirketlerini de hedef aldı. Sandworm, kış boyunca yıkıcı faaliyetlerini yoğunlaştırdı ve Ukrayna’da kamu ve özel sektör hedeflerine karşı birkaç yeni wiper programı kullandı. Özellikle dikkat çeken, Aralık 2025’te bir Polonyalı enerji şirketini etkileyen veri imha olayıydı; ESET bu olayı Sandworm’a atfetti.
ESET ürünleri, müşterilerimizin sistemlerini bu raporda açıklanan kötü niyetli faaliyetlerden korur. Burada paylaşılan istihbarat, çoğunlukla ESET’in tescilli telemetri verilerine dayanmaktadır ve belirli APT gruplarının faaliyetlerini ayrıntılı olarak anlatan derinlemesine teknik raporlar ve sık faaliyet güncellemeleri hazırlayan ESET araştırmacıları tarafından doğrulanmıştır. ESET APT Raporları olarak bilinen bu tehdit istihbaratı analizleri, vatandaşları, kritik ulusal altyapıyı ve yüksek değerli varlıkları suçluların ve devletlerin yönlendirdiği siber saldırılardan korumakla görevli kuruluşlara yardımcı olmaktadır.
Yüksek kaliteli, stratejik, eyleme geçirilebilir ve taktiksel siber güvenlik tehdit istihbaratı sunan ESET APT Raporları hakkında daha fazla bilgiye ESET Tehdit İstihbaratı sayfasından ulaşabilirsiniz.
