Yapay Zeka Kötüye Kullanımı, 31 Tbps DDoS ve Kritik Yazılım Arka Kapıları: Güncel Siber Tehditler

Anasayfa » Yapay Zeka Kötüye Kullanımı, 31 Tbps DDoS ve Kritik Yazılım Arka Kapıları: Güncel Siber Tehditler
APT, Saldırılar, Zafiyetler
Şubat 12, 2026Şubat 12, 2026Tarafından Cybernews.TR
0
Yapay Zeka Kötüye Kullanımı, 31 Tbps DDoS ve Kritik Yazılım Arka Kapıları: Güncel Siber Tehditler

Saldırının Genel Çerçevesi

Son dönemde saldırganlar, yapay zeka (YZ) ajanlarının yeteneklerini kötüye kullanarak karmaşık saldırılar gerçekleştiriyor. OpenClaw platformu, Google VirusTotal ile iş birliği yaparak kötü amaçlı YZ becerilerini tespit etmeye çalışsa da, bu ekosistemdeki kötü amaçlı yazılımlar hızla artıyor. Trend Micro ve Veracode gibi analizler, npm ve PyPI gibi paket yöneticilerinde “claw” adlı paketlerin sayısının hızla çoğaldığını ortaya koyuyor. Bu durum, saldırganların kötü amaçlı yazılımları gizlemek için yeni yollar geliştirdiğini gösteriyor.

Almanya’da devlet destekli olduğu düşünülen bir aktör, Signal uygulaması üzerinden kimlik avı saldırıları düzenliyor. Bu saldırılar özellikle siyaset, ordu ve diplomasi alanlarındaki üst düzey hedeflere yöneliyor ve Signal’in PIN ve cihaz bağlama özellikleri kullanılarak hesaplar ele geçiriliyor.

31 Tbps DDoS Saldırısı ve Notepad++ Tedarik Zinciri İhlali

AISURU/Kimwolf botneti, Kasım 2025’te Cloudflare tarafından engellenen 31.4 Tbps büyüklüğündeki DDoS saldırısının arkasında yer aldı. Ayrıca “The Night Before Christmas” adlı başka bir DDoS kampanyasıyla da ilişkilendirilen bu botnet, 2025’te DDoS saldırılarının %121 artışına katkı sağladı.

Notepad++ güncelleme altyapısı WinGUp, Haziran-Ekim 2025 arasında Lotus Blossom adlı tehdit aktörünün kontrolündeki sunucuya yönlendirilerek arka kapı dağıtımı için kullanıldı. Saldırganlar, güncelleme doğrulama mekanizmasındaki zayıflıkları kullanarak kötü amaçlı yürütülebilir dosyalar indirdi. Bu tedarik zinciri saldırısı, güncelleme sunucularının kritik bir saldırı vektörü olduğunu bir kez daha gösterdi.

Docker AI Asistanında Kritik RCE Açığı

Docker’ın Ask Gordon AI asistanında bulunan DockerDash adlı güvenlik açığı, Model Context Protocol (MCP) Gateway’in bağlamsal güvenlik kontrollerindeki zafiyet nedeniyle uzaktan kod yürütülmesine (RCE) olanak tanıyor. MCP Gateway, meta veri etiketlerindeki kötü amaçlı talimatları doğrulama yapmadan çalıştırıyor. Kasım 2025’te Docker 4.50.0 sürümüyle bu açık giderildi.

Microsoft’tan LLM Arka Kapı Tespiti İçin Yeni Tarayıcı

Microsoft, üçüncü taraf büyük dil modellerinde (LLM) gizli arka kapıları tespit etmek için bir tarayıcı geliştirdi. Bu araç, modelin prompta verdiği tepkilerde gizli tetikleyicileri, modelin zehirlenmiş verilerini sızdırma eğilimini ve arka kapının kısmi versiyonlarının tetiklenmesini analiz ederek şüpheli alt dizileri puanlıyor. Bu gelişme, yapay zeka tabanlı sistemlerde güvenlik açığı yönetimi için önemli bir adım olarak görülüyor.

Teknik Özet: Öne Çıkan Zafiyetler ve Saldırı Zinciri

  • Kötü amaçlı yazılımlar: OpenClaw kötü amaçlı becerileri, EtherHiding tekniği kullanan npm paketleri.
  • Hedef sektörler: Kamu kurumları, yazılım geliştiriciler, bulut ortamları, siyaset ve diplomasi alanları.
  • Kullanılan zafiyetler: CVE-2026-22588, CVE-2026-22589 (Spree IDOR), CVE-2026-25049 (n8n), CVE-2026-0709 (Hikvision), CVE-2026-23795 (Apache Syncope) ve diğerleri.
  • Saldırı zinciri: Kimlik avı (Signal phishing) → kötü amaçlı güncelleme (Notepad++) → DDoS saldırısı (AISURU botnet) → uzaktan kod yürütme (DockerDash RCE) → veri sızıntısı ve arka kapı yerleştirme.
  • Temel savunma: Güncel yamaların uygulanması, Zero Trust mimarisi, çok faktörlü kimlik doğrulama (MFA), EDR ve SIEM sistemlerinin etkin kullanımı, ağ segmentasyonu ve tedarik zinciri güvenliği kontrolleri.

Siber Güvenlik Ekipleri İçin Pratik Öneriler

  • OpenClaw ve benzeri YZ ajanlarının ağ trafiğini WebSocket API seviyesinde izleyin ve anormal erişimleri tespit edin.
  • Notepad++ ve diğer kritik uygulamaların güncelleme mekanizmalarında dijital imza doğrulaması zorunlu kılın.
  • Docker ortamlarında MCP Gateway gibi bileşenlerin meta veri işleme süreçlerini denetleyin ve güvenlik yamalarını hızla uygulayın.
  • Signal ve benzeri mesajlaşma uygulamalarında PIN ve cihaz bağlama işlemlerini çok faktörlü doğrulama ile destekleyin.
  • Spree gibi e-ticaret platformlarında IDOR gibi erişim kontrolü zafiyetlerine karşı düzenli güvenlik testleri yapın.
  • EtherHiding gibi yeni kötü amaçlı tekniklere karşı sandbox ortamlarını ve CPU sayısı kontrollerini optimize edin.
  • Bulut ortamlarında olay müdahale (incident response) süreçlerini modernize ederek hızlı tespit ve müdahale kabiliyeti kazanın.
  • Yapay zeka tabanlı sistemlerde prompt enjeksiyon saldırılarına karşı katmanlı güvenlik önlemleri ve davranış analizi uygulayın.

Kurumsal Senaryo: Finans Sektöründe YZ Tabanlı Saldırı

Bir finans kuruluşu, OpenClaw tabanlı yapay zeka ajanlarını müşteri destek süreçlerinde kullanıyor. Saldırganlar, kötü amaçlı beceriler içeren paketleri tedarik zincirine sızdırarak ajanların yetkilerini kötüye kullanıyor. Bu durum, müşteri verilerinin sızmasına ve sistemlerin dışarıdan kontrol edilmesine yol açıyor. Aynı zamanda, Signal üzerinden hedeflenen kimlik avı saldırıları ile kritik personelin hesapları ele geçiriliyor. Kuruluş, Zero Trust prensipleri ve kapsamlı IAM politikaları ile bu riskleri azaltmaya çalışıyor.

, , , , , , ,