Son dönemde İran bağlantılı bir tehdit grubu, ABD, Avrupa ve Orta Doğu’da havacılık ve yazılım sektörlerini hedef alan yeni bir siber casusluk kampanyası yürütüyor. 2026 yılının Şubat ayındaki ABD-İsrail ortak askeri operasyonunu takiben başlayan bu saldırılar, kimlik avı ve SEO zehirlenmesi yöntemleriyle MiniFast ve MiniJunk V2 adlı zararlı yazılımların dağıtımını içeriyor.
Saldırı Zinciri ve Teknik Detaylar
Tehdit aktörü, kariyer temalı kimlik avı tuzakları ve sahte iş teklifleriyle hedef çalışanları kandırıyor. İlk aşamada, OnlyOffice platformunda barındırılan ZIP arşivleri indiriliyor ve zararsız görünen yürütülebilir dosyalar aracılığıyla AppDomain kaçırma (hijacking) yöntemiyle MiniJunk adlı kötü amaçlı DLL yükleniyor. Mart 2026’da ise trojanlanmış Zoom yükleyicisi kullanılarak MiniFast arka kapısı devreye alındı. Nisan ayında ise SEO zehirlenmesi yoluyla Oracle SQL Developer yazılımının sahte indirme sayfası üzerinden MiniFast dağıtımı yapıldı.
MiniFast, yapay zeka destekli geliştirme izleri taşıyan, uzun süreli gizlilik ve uzaktan komut yürütme amaçlı tam özellikli bir arka kapı olarak tanımlanıyor. HTTP tabanlı komut ve kontrol (C2) iletişimi kurarak dosya sızdırma, komut yürütme, süreç yönetimi ve ayrıcalık yükseltme gibi işlevleri destekliyor. Ayrıca, rastgeleleştirilmiş beacon aralıklarıyla tespit edilme riskini azaltıyor.
Hangi Sistemler Risk Altında?
Hedefler arasında savunma, havacılık, telekomünikasyon ve enerji sektörleri bulunuyor. Özellikle Suudi Arabistan, Avustralya, ABD, İsrail ve Birleşik Arap Emirlikleri’ndeki kurumlar saldırıların odağında yer aldı. Ayrıca ABD’deki petrol ve gaz şirketlerine yönelik karmaşık casusluk faaliyetleri de raporlandı.
Ek olarak, ABD genelinde otomatik tank ölçüm sistemlerine yönelik saldırılar tespit edildi. Şifre koruması olmayan bu sistemler üzerinden gösterge değerleri manipüle edilerek kritik altyapı güvenliği riske atıldı. Bu tür erişimler, gaz kaçaklarının fark edilmemesi veya altyapı arızalarına yol açabilecek potansiyel tehlikeler oluşturuyor.
Siber Güvenlik Ekipleri İçin Öneriler
- E-posta güvenliği çözümlerinde kariyer temalı kimlik avı kampanyalarına karşı özel filtreler oluşturun.
- Uygulama alanı kaçırma (AppDomain hijacking) gibi teknikleri tespit etmek için gelişmiş davranış analizi ve EDR araçları kullanın.
- SEO zehirlenmesi riskine karşı, kurum dışı yazılım indirme sayfalarının doğruluğunu ve sertifikalarını düzenli olarak kontrol edin.
- Uzaktan komut ve kontrol trafiğini izlemek için SIEM sistemlerinde HTTP tabanlı anormal iletişimlere odaklanın.
- Otomatik tank ölçüm sistemleri gibi kritik altyapı bileşenlerine erişimi şifre ve ağ segmentasyonu ile sınırlandırın.
- Çok faktörlü kimlik doğrulama (MFA) ve ayrıcalık yönetimi (IAM) politikalarını sıkılaştırarak yetkisiz erişimleri engelleyin.
- Olay müdahale planlarınızı güncelleyerek bu tür gelişmiş tehditlere karşı hazırlıklı olun.
- Yapay zeka destekli zararlı yazılım geliştirme eğilimlerini takip ederek tehdit istihbaratınızı güncel tutun.
Teknik Özet
- Kullanılan zararlılar: MiniFast (MiniUpdate), MiniJunk, MiniJunk V2
- Hedef sektörler: Havacılık, savunma, telekomünikasyon, enerji
- Kullanılan yöntemler: Kimlik avı, AppDomain hijacking, trojanlanmış yazılım yükleyicileri, SEO zehirlenmesi
- Önemli teknik özellikler: AI destekli zararlı geliştirme, HTTP tabanlı C2, dosya exfiltrasyonu, süreç yönetimi, ayrıcalık yükseltme
- Önerilen savunma: E-posta güvenliği, EDR, SIEM izleme, MFA, ağ segmentasyonu, IAM politikaları