Curly COMrades tehdit aktörü, Windows Hyper-V üzerinde hafif Alpine Linux VM'ler kullanarak özel kötü amaçlı yazılımlarını gizliyor ve EDR tespitinden kaçıyor. CurlyShell ve CurlCat adlı araçlarla komut ve kontrol trafiğini izole eden saldırganlar, gelişmiş proxy ve tünelleme teknikleriyle operasyonlarını sürdürüyor. Bu durum, sanallaştırma teknolojilerinin siber saldırılarda yeni bir saldırı yüze
SleepyDuck adlı kötü amaçlı VS Code uzantısı, Ethereum blockchain üzerinde barındırılan akıllı sözleşmeler aracılığıyla dinamik komut ve kontrol sağlıyor. Gelişmiş sistem bilgisi toplama ve yedekleme mekanizmalarıyla donatılan uzantı, Solidity geliştiricilerini hedef alıyor. Ayrıca, benzer tehditler arasında dış sunuculardan Monero madencisi indiren uzantılar da bulunuyor; kullanıcıların güvenilir
Güney Kore'de hedefli bir oltalama saldırısında, Kimsuky adlı tehdit aktörü HttpTroy adlı yeni bir arka kapı kullanarak kurbanın sistemine sızdı. VPN faturası kılığındaki ZIP dosyası aracılığıyla yayılan kötü amaçlı yazılım, dosya transferi, ekran görüntüsü alma ve komut çalıştırma gibi geniş yeteneklere sahip. Ayrıca, Lazarus Grubu'nun Kanada'daki saldırısında Comebacker ve BLINDINGCAN trojanları kullanıldı. Her iki kampanya da gelişmiş gizleme teknikleri ve çok aşamalı enfeksiyon zincirleriyle dikkat çekiyor.
4 Temmuz 2025'te npm kayıt defterine yüklenen 10 sahte paket, Windows, macOS ve Linux sistemlerinde geliştirici kimlik bilgilerini hedef alan karmaşık bir bilgi hırsızlığı operasyonu yürütüyor. Kötü amaçlı yazılım, çok katmanlı karmaşıklaştırma ve platforma özgü terminal komutları kullanarak sistem anahtar zincirlerinden, tarayıcılardan ve yapılandırma dosyalarından kritik verileri topluyor.
SideWinder tehdit aktörü, Eylül 2025'te Güney Asya'daki diplomatik hedeflere yönelik saldırılarında yeni bir ClickOnce tabanlı enfeksiyon zinciri kullanmaya başladı. Bu çok katmanlı saldırı zincirinde, meşru görünen uygulamalar üzerinden kötü amaçlı DLL yan yükleniyor ve ModuleInstaller ile StealerBot gibi gelişmiş kötü amaçlı yazılımlar teslim ediliyor. Saldırılar, dinamik C2 iletişimi ve gelişmiş kaçınma teknikleriyle güvenlik analizini zorlaştırıyor.
2021'den beri aktif olan YouTube Hayalet Ağı operasyonu, 3.000'den fazla kötü amaçlı yazılım içeren video yayınladı ve yıl başından itibaren bu içeriklerin sayısı üç katına çıktı. Operasyon, ele geçirilmiş hesapları modüler ve rol tabanlı yapıyla kullanarak kullanıcıları çeşitli stealer ve yükleyicilerle enfekte ediyor. Siber güvenlik uzmanları, bu tür karmaşık ve sürekli evrilen tehditlere karşı
Kuzey Koreli Lazarus hacker grubu, sahte iş teklifleriyle savunma mühendislerini hedef alarak drone teknolojisiyle ilgili gizli bilgileri çalıyor. Kampanya, gelişmiş kötü amaçlı yazılımlar ve sosyal mühendislik teknikleri kullanarak özellikle İHA sektöründeki şirketlere odaklanıyor. Operasyon, Microsoft Graph API entegrasyonu ve polimorfik yüklerle tespit edilmekten kaçınıyor.
Wiz araştırmacıları, VS Code eklentilerinde yüzlerce gizli bilginin sızdırıldığını ve kötü amaçlı yazılım dağıtımının kolaylaştığını ortaya koydu. TigerJack adlı tehdit aktörü, sahte görünümlü eklentilerle kaynak kodu çalma ve kripto madenciliği gibi saldırılar düzenliyor. Microsoft, güvenlik önlemlerini artırsa da, alternatif platformlardaki riskler devam ediyor.
Kuzey Koreli hackerlar, EtherHiding yöntemiyle BNB Smart Chain ve Ethereum akıllı sözleşmelerine kötü amaçlı yazılım gizleyerek saldırılarını daha dayanıklı ve izlenmesi zor hale getiriyor. Sosyal mühendislik temelli çok aşamalı kampanya, kripto cüzdanları ve hassas verileri hedefleyen gelişmiş kötü amaçlı yazılım ailelerini içeriyor.
LinkPro Linux rootkit, eBPF modülleri kullanarak sistemde gizleniyor ve belirli bir sihirli TCP paketi alındığında aktif hale geliyor. Jenkins zafiyeti üzerinden yayılan kötü amaçlı yazılım, Kubernetes ortamlarında çeşitli bileşenlerle birlikte çalışarak C2 iletişimini karmaşıklaştırıyor ve çok protokollü komut kontrolü sağlıyor.