2026 yılının ilk yarısında siber tehdit ortamı önemli gelişmelerle şekillendi. Özellikle Dell RecoverPoint for Virtual Machines ürününde tespit edilen CVE-2026-22769 kodlu kritik sıfır gün açığı, Çin bağlantılı UNC6201 adlı tehdit grubu tarafından aktif olarak sömürüldü. Bu açığın istismarıyla saldırganlar, Apache Tomcat Manager üzerinden “admin” kimlik bilgilerini kullanarak root yetkisi elde ediyor ve zararlı arka kapılar bırakıyor.
Öne Çıkan Sıfır Günler ve Zararlı Kampanyalar
Bu dönemde PromptSpy adlı Android zararlısı, Google Gemini yapay zekasını kullanarak ekran analizleri yapıyor ve işletim sisteminin erişilebilirlik hizmetlerinden faydalanarak kalıcılık sağlıyor. Arjantin merkezli olduğu düşünülen bu kampanya, mobil kullanıcılar için yeni bir tehdit oluşturuyor. Ayrıca, Kaspersky tarafından keşfedilen Keenadu adlı yeni bir önceden yüklenmiş Android arka kapısı, donanım yazılımına gömülü şekilde yüksek ayrıcalıklarla cihaz kontrolü sağlıyor ve APK dosyaları üzerinden ek zararlı yazılımlar dağıtabiliyor.
Docker Hub üzerinde yapılan analizlerde ise 2.500’den fazla zararlı konteyner görüntüsü tespit edildi. Bu görüntülerin yaklaşık %70’i gizli kripto madencisi içerirken, diğerleri arka kapılar, fidye yazılımları ve tuş kaydediciler barındırıyor. Bu durum, konteyner tabanlı uygulama güvenliğinin önemini bir kez daha ortaya koyuyor.
Devasa DDoS Saldırıları ve Kimlik Avı Kampanyaları
2025 yılında web tabanlı DDoS saldırılarında %101,4 artış yaşandı ve ağ katmanı saldırıları 30Tbps seviyesine ulaştı. Teknoloji, telekomünikasyon ve finans sektörleri en çok hedeflenen alanlar oldu. Bu saldırılar, üretken yapay zeka destekli kötü bot aktiviteleriyle destekleniyor. Tayvan’da ise Winos 4.0 (ValleyRAT) adlı uzak erişim truva atı dağıtan kimlik avı kampanyaları yoğunlaştı. Bu kampanyalar, resmi vergi bildirimleri ve bulut tabanlı e-fatura temalarıyla kullanıcıları hedefliyor.
Saldırı Zinciri ve Teknik Detaylar
- Kullanılan zararlılar ve araçlar: PromptSpy, Keenadu, njRAT, Pulsar RAT, XWorm, Prometei, Warzone RAT.
- Hedef sektörler ve bölgeler: Mobil kullanıcılar (özellikle Arjantin), akademik araştırma kurumları (Çin), finans, teknoloji ve telekomünikasyon sektörleri.
- Önemli zafiyetler: CVE-2026-22769 (Dell RecoverPoint), CVE-2018-0802 (Microsoft Office), CVE-2026-25926 (Notepad++), CVE-2026-24733 (Apache Tomcat) ve diğer kritik CVE’ler.
- Saldırı zinciri örneği: Kimlik avı e-postası → Makro veya LNK dosyası ile zararlı yükleme → C2 iletişimi → Veri sızıntısı ve kalıcılık sağlama.
- Temel savunma yaklaşımları: Güncel yamaların uygulanması, çok faktörlü kimlik doğrulama (MFA), ağ segmentasyonu, kapsamlı EDR ve SIEM çözümleri ile sürekli olay müdahale (incident response) pratiği.
Sistem Yöneticileri İçin Pratik Öneriler
- Özellikle Dell RecoverPoint ve Apache Tomcat gibi kritik altyapı bileşenlerini düzenli olarak güncelleyin.
- Android cihazlarda önceden yüklenmiş uygulamaların davranışlarını izlemek için mobil tehdit savunma çözümleri kullanın.
- Docker konteynerlerini dağıtmadan önce imajları kapsamlı şekilde tarayın ve güvenilir kaynaklardan temin edin.
- DDoS saldırılarına karşı trafik filtreleme ve anomali tespiti için gelişmiş ağ güvenlik çözümleri uygulayın.
- Kimlik avı saldırılarına karşı e-posta güvenliği politikalarını sıkılaştırın ve kullanıcı eğitimlerini artırın.
- Olay müdahale süreçlerini güncel tutun ve sürekli CTI destekli maruziyet doğrulaması yaparak güvenlik kontrollerini test edin.
- Bulut ortamlarında IAM ve Zero Trust prensiplerini uygulayarak erişim kontrollerini sıkılaştırın.
- Log yönetimi ve analizini optimize ederek şüpheli aktiviteleri erken aşamada tespit edin.
Kurumsal Senaryo: Finans Sektöründe Riskler
Bir finans kurumunda, Dell RecoverPoint’teki sıfır gün açığının istismarı sonucu yedekleme sistemlerine yetkisiz erişim sağlanabilir. Bu durum, kritik veri kaybına ve operasyonel aksamalara yol açabilir. Aynı zamanda, çalışanların Android cihazlarına bulaşan PromptSpy gibi zararlılar, kurumsal ağda kalıcılık sağlayarak hassas müşteri bilgilerini sızdırabilir. Kurumun Docker tabanlı mikroservislerinde ise kötü amaçlı konteynerlerin çalıştırılması, altyapı güvenliğini tehdit eder. Bu senaryoda, çok katmanlı savunma, kapsamlı log analizi ve hızlı olay müdahale kritik öneme sahiptir.