Siber Güvenlik, Tehdit İstihbaratı

İranlı APT42 Grubundan ‘SpearSpecter’: Savunma ve Hükümet Hedeflerine Yönelik Gelişmiş Casusluk Operasyonu

Kasım 14, 2025Kasım 14, 2025Tarafından Cybernews.TR
2
İranlı APT42 Grubundan ‘SpearSpecter’: Savunma ve Hükümet Hedeflerine Yönelik Gelişmiş Casusluk Operasyonu

İran merkezli APT42 tehdit aktörü, 2025 yılının Eylül ayından itibaren İsrail Ulusal Dijital Ajansı (INDA) tarafından SpearSpecter olarak adlandırılan sofistike bir casusluk kampanyası yürütüyor. Bu operasyon, İslam Devrim Muhafızları Kolordusu (IRGC) bağlantılı grubun, üst düzey savunma ve hükümet yetkililerini hedef alarak kişiselleştirilmiş sosyal mühendislik teknikleriyle uzun süreli erişim sağlamayı amaçlıyor.

Kampanyanın Teknik Detayları ve Sosyal Mühendislik Taktikleri

SpearSpecter, hedeflerine prestijli konferans davetleri veya kritik toplantılar düzenleme gibi ikna edici senaryolarla yaklaşarak güven inşa ediyor. İlginç bir şekilde, saldırılar sadece birincil hedeflerle sınırlı kalmayıp, onların aile üyelerine de yöneltilerek baskı ve saldırı yüzeyi genişletiliyor. Bu yöntem, APT42’nin daha önce Google Mandiant tarafından raporlanan diğer alt gruplarıyla (APT35, CALANQUE, Charming Kitten vb.) paralellikler gösteriyor.

Grubun ayırt edici özelliklerinden biri, günler hatta haftalar süren sosyal mühendislik kampanyalarıyla hedeflerin güvenini kazanmasıdır. Bu süreçte kötü amaçlı yazılım doğrudan gönderilmeden önce, tanınan kişiler gibi davranılarak hedeflerin tuzaklı bağlantılara tıklaması sağlanıyor. Bu da operasyonun tespit edilmesini zorlaştırıyor.

TAMECAT Arka Kapısı ve Çok Kanallı Komut Kontrol Mekanizması

INDA araştırmacıları, SpearSpecter kampanyasında TAMECAT adlı PowerShell tabanlı arka kapının kullanıldığını belirtiyor. Bu zararlı, modüler yapısıyla keşif, veri toplama ve ekran görüntüsü alma gibi işlevleri yerine getiriyor. Komut ve kontrol (C2) altyapısı ise HTTPS, Discord ve Telegram kanallarını eş zamanlı kullanarak esneklik sağlıyor. Özellikle Telegram botları üzerinden gelen komutların dinlenmesi ve Cloudflare Workers alt alan adlarından ek PowerShell kodlarının çekilmesi, saldırganların tespit edilmeden uzun süreli kalıcı erişim elde etmesine imkan tanıyor.

Discord kanalı ise, sabit webhook URL’leri aracılığıyla temel sistem bilgilerini gönderme ve komut alma işlevi görüyor. Bu çok kanallı yapı, MCP istemcisi ve AsyncRAT gibi gelişmiş RAT çözümlerine benzer şekilde, saldırganların engellenen bir kanaldan diğerine hızlıca geçiş yapmasını mümkün kılıyor. Ayrıca, Cloudflare Workers kullanımı, altyapının bulut tabanlı ve dinamik olmasını sağlayarak tespit ve engellemeyi zorlaştırıyor.

Saldırı Zinciri ve LNK Dosyası Tabanlı Yükleme Mekanizması

SpearSpecter kampanyasında, hedeflere WhatsApp üzerinden gelen kötü amaçlı bağlantılar, “search-ms:” protokolü kullanılarak WebDAV barındırmalı Windows kısayol dosyalarına (LNK) yönlendirme yapıyor. Bu LNK dosyası, Cloudflare Workers alt alan adlarıyla iletişim kurarak TAMECAT arka kapısı için yükleyici işlevi gören toplu iş dosyasını indiriyor. Bu yöntem, Pydantic AI gibi modern otomasyon ve doğrulama araçlarının kullanıldığı gelişmiş saldırı zincirlerine benzer şekilde, saldırının gizliliğini ve sürekliliğini artırıyor.

Gizlilik ve Algılanmadan Kaçınma Teknikleri

APT42, telemetri ve kontrol yüklerini şifreleyerek, kaynak kodu gizleme teknikleriyle ve yerleşik sistem ikili dosyalarını (LOLBins) kullanarak kötü amaçlı faaliyetlerini kamufle ediyor. Bellekte çalışan bu zararlı, diskte minimum iz bırakarak antivirüs ve analiz araçlarının tespitini zorlaştırıyor. Ayrıca, konteyner ortamlarında rastgele açılan SSH portları ve dinamik C2 kanallarıyla saldırı altyapısının esnekliği artırılıyor.

Analiz ve Değerlendirme

SpearSpecter kampanyası, yüksek değerli hedeflere yönelik uzun süreli ve çok katmanlı casusluk operasyonlarının güncel bir örneği olarak öne çıkıyor. INDA’nın raporladığı gibi, operasyonun altyapısı, meşru bulut hizmetleri ile saldırgan kontrolündeki kaynakları birleştirerek ilk erişimden kalıcı komut kontrolüne kadar kesintisiz ve gizli bir iletişim sağlıyor. Bu durum, MCP istemcisi ve AsyncRAT gibi gelişmiş tehdit aktörlerinin kullandığı tekniklerle paralellik gösteriyor.

Özellikle TAMECAT’ın modüler yapısı, farklı veri toplama ve keşif modüllerinin dinamik olarak yüklenebilmesi, tehdit aktörlerine operasyonlarını hızlıca adapte etme ve genişletme imkanı tanıyor. Ayrıca, Telegram ve Discord gibi popüler platformların C2 kanalı olarak kullanılması, saldırganların altyapıyı engelleme çabalarına karşı dayanıklılığını artırıyor.

Bu tür gelişmiş tehditlere karşı savunma stratejilerinde, sosyal mühendislik farkındalığının artırılması, çok faktörlü kimlik doğrulama (MFA) kullanımı ve ağ trafiği analizlerinin önemi giderek artıyor. Ayrıca, CVE-2023-XXXX gibi güncel zafiyetlerin takibi ve yamalanması, bu tür saldırıların önlenmesinde kritik rol oynuyor. (Detaylı CVE bilgisi için: NVD CVE-2023-XXXX)

Sonuç olarak, SpearSpecter kampanyası, İran kaynaklı APT42 grubunun teknik kapasitesini ve operasyonel esnekliğini gözler önüne seriyor. Siber güvenlik profesyonelleri ve kurumlar, bu tür tehditlere karşı kapsamlı izleme, hızlı müdahale ve sürekli eğitim programlarıyla hazırlıklı olmalıdır.

, , , , , , ,