Haziran-Ağustos 2025 döneminde, SmudgedSerpent adlı gizemli bir hacker grubunun, İran ve İsrail arasındaki jeopolitik gerilimlerin yükseldiği süreçte ABD merkezli akademisyenler ve dış politika uzmanlarına yönelik karmaşık siber saldırılar düzenlediği tespit edildi. Proofpoint güvenlik araştırmacısı Saher Naumaan’ın raporuna göre, grup İran’daki toplumsal değişimler ve İslam Devrim Muhafızları Kolordusu’nun (IRGC) askerileştirilmesi gibi hassas konuları istismar ederek hedeflerine ulaşıyor.
TA455, TA453 ve TA450 Siber Casusluk Gruplarının Taktiksel İzleri
SmudgedSerpent operasyonları, TA455 (Smoke Sandstorm/UNC1549), TA453 (Charming Kitten/Mint Sandstorm) ve TA450 (MuddyWater) gibi İran kaynaklı siber casusluk gruplarının önceki saldırı teknikleriyle yüksek oranda örtüşüyor. Özellikle phishing e-postalarında, hedeflerin kimlik bilgilerini ele geçirmek için Microsoft Teams gibi görünen ancak arka planda PDQ Connect ve ISL Online gibi meşru Uzaktan İzleme ve Yönetim (RMM) araçlarını yükleyen kötü amaçlı MSI yükleyicileri kullanılıyor. Bu yöntem, MuddyWater grubunun bilinen taktiklerine benzerlik gösteriyor.
İleri Düzey Kimlik Avı ve Sosyal Mühendislik Teknikleri
Grup, Brookings Institution ve Washington Institute gibi prestijli ABD düşünce kuruluşlarına bağlı dış politika uzmanlarını taklit ederek saldırılarına meşruiyet kazandırıyor. Bazı vakalarda, hedeflerin kimlik doğrulaması için e-posta adreslerinin gerçekliğini teyit etmeye yönelik sosyal mühendislik adımları atılıyor. Ardından, Microsoft hesap bilgilerini çalmaya yönelik sahte açılış sayfaları ve OnlyOffice tabanlı dosya barındırma platformları üzerinden zararlı içerikler dağıtılıyor.
Teknik Derinlik: MCP İstemcisi ve AsyncRAT Benzerlikleri
Proofpoint raporu, SmudgedSerpent’in kullandığı zararlı yazılımlarda MCP istemcisi ve Pydantic AI tabanlı otomasyonlarla benzerlikler gözlemlendiğini belirtiyor. Ayrıca, saldırganların konteyner ortamlarında rastgele SSH portları açarak komuta kontrol (C2) altyapısını gizlediği ve AsyncRAT benzeri uzaktan erişim araçlarıyla hedef sistemlerde kalıcılık sağladığı düşünülüyor. Bu gelişmiş teknikler, grubun operasyonel güvenliğini artırırken keşfedilme riskini minimize ediyor.
İran İstihbaratının Siber Casusluk Ekosisteminde Yeni Dönem
Kampanyalar, İran’ın istihbarat toplama faaliyetleriyle uyumlu olup, Batı’nın politika analizleri, akademik araştırmaları ve stratejik teknoloji alanlarına odaklanıyor. Bu durum, İran istihbarat birimleri ile siber operasyon ekipleri arasındaki işbirliğinin derinleştiğine ve casusluk ekosisteminde önemli bir dönüşüm yaşandığına işaret ediyor. SmudgedSerpent’in PDQ Connect ve ISL Online gibi RMM araçlarını ardışık olarak kullanması, saldırı zincirinde esneklik ve karmaşıklık sağlıyor.
Daha fazla teknik detay ve güncel siber güvenlik gelişmeleri için bizi Google News, Twitter ve LinkedIn üzerinden takip edebilirsiniz.