Yeni raporlar, Çin merkezli BIETA ve bağlı kuruluşu CIII'nin, MSS'nin siber operasyonlarını destekleyen gelişmiş iletişim ve güvenlik teknolojileri geliştirdiğini ortaya koyuyor. Steganografi, gizli iletişim ve ağ penetrasyon testleri gibi alanlarda uzmanlaşan bu kuruluşlar, Pekin'in istihbarat faaliyetlerine teknolojik altyapı sağlıyor. Ayrıca, ticari hizmetlerin APT vekil altyapısına karışma riski de gündemde.
BI.ZONE tarafından takip edilen Cavalry Werewolf grubu, Rus devlet kurumları ve stratejik sektörlerde faaliyet gösteren şirketlere yönelik FoalShell ve StallionRAT adlı gelişmiş ters erişim araçlarıyla saldırılar düzenliyor. Grup, Kırgız hükümeti çalışanlarını taklit eden oltalama e-postalarıyla ilk erişimi sağlıyor ve saldırılarını sürekli olarak genişletiyor. Siber güvenlik uzmanları, bu tehdit aktörünün kullandığı araçlar hakkında güncel bilgi edinmenin kritik olduğunu vurguluyor.
ThreatFabric tarafından keşfedilen Datzbro adlı Android Truva Atı, yapay zeka destekli sahte Facebook etkinlikleri aracılığıyla yaşlı kullanıcıları hedef alıyor. Gelişmiş erişilebilirlik hizmetleri ve şematik uzaktan kontrol özellikleriyle finansal dolandırıcılık yapabilen kötü amaçlı yazılım, Çinli bir tehdit grubu tarafından geliştirildiği düşünülüyor. Google Play Protect, bilinen sürümlere karşı koruma sağlıyor.
Cleafy tarafından keşfedilen Klopatra, Android cihazları gizli VNC kullanarak uzaktan kontrol eden gelişmiş bir bankacılık truva atıdır. Virbox kod koruma entegrasyonu ve erişilebilirlik servislerinin kötüye kullanımıyla tespiti zorlaştırılan kötü amaçlı yazılım, sosyal mühendislik taktikleriyle kullanıcıları kandırarak finansal bilgileri çalıyor. Google ise Play Store'da bu tür uygulamaların bulunmadığını ve kullanıcıların Play Protect ile korunduğunu belirtti.
Microsoft, GoAnywhere MFT platformundaki kritik CVE-2025-10035 açığını Storm-1175 grubunun Medusa fidye yazılımı dağıtımında kullandığını doğruladı. Kimlik doğrulama gerektirmeyen bu deseralizasyon hatası, uzak kod yürütmeye ve sistemde kalıcı erişime imkan tanıyor. Saldırganlar, RMM araçları ve Cloudflare tüneli üzerinden komut kontrolü yaparak veri sızdırma ve fidye yazılımı dağıtımı gerçekleştiriyor.
Microsoft, büyük dil modelleri tarafından oluşturulan SVG dosyalarının kimlik avı saldırılarında kullanıldığını tespit etti. Bu dosyalar, iş terminolojisiyle gizlenmiş kodlar içererek kullanıcıları sahte doğrulama sayfalarına yönlendiriyor ve kimlik bilgilerini çalıyor. Benzer teknikler, çok aşamalı saldırılar ve gelişmiş kötü amaçlı yazılımlar tarafından da kullanılıyor.
Microsoft, Sentinel platformunu Sentinel Graph ve MCP sunucusuyla genişleterek telemetri verilerini güvenlik grafiğine dönüştürüyor ve yapay zeka ajanlarının bağlama standart erişimini sağlıyor. Sentinel veri gölü, farklı kaynaklardan gelen güvenlik verilerini bulutta toplayıp analiz ederek yüksek doğrulukta uyarılar oluşturuyor. Ayrıca, Microsoft yapay zeka platformları için çok katmanlı güvenlik önlemleriyle prompt enjeksiyon saldırılarına karşı proaktif koruma sağlıyor.
SOC ekiplerinin tehdit tespit boşluklarını kapatmak için uyguladığı üç aşamalı strateji; erken tehdit kapsamı, etkileşimli sandbox kullanımı ve kapsamlı tehdit istihbaratı aramasını içerir. Bu yöntemler, uyarı yükünü azaltırken tespit verimliliğini üç kat artırarak daha hızlı ve etkili müdahale imkanı sunar.
Thomas Kinsella liderliğindeki webinar, güvenlik ekiplerinin AI, insan müdahalesi ve kuralları nasıl dengeli bir şekilde birleştirdiğini anlatıyor. Tam otomasyonun getirdiği risklere karşı netlik ve denetlenebilirlik ön planda tutuluyor. Katılımcılar, AI destekli iş akışlarını güvenli ve etkili şekilde ölçeklendirmek için pratik bilgiler edinecek.
SEKOIA, Milesight yönlendiricilerindeki API açığını kullanarak Avrupa’daki kullanıcılara kimlik avı SMS’leri gönderen saldırganları tespit etti. Açık, gelen ve giden SMS mesajlarının kontrolüne izin veriyor ve özellikle İsveç, İtalya ile Belçika’da hedefleniyor. Kampanyalar, mobil cihazları hedef alan gelişmiş JavaScript teknikleri ve Telegram botlarıyla destekleniyor.