İran devletiyle bağlantılı bilgisayar korsanları, ABD havacılık sektörünü hedef alan yeni bir siber saldırı kampanyasında, kariyer temalı kimlik avı (phishing) ve ilk kez arama motoru zehirleme (SEO poisoning) yöntemlerini bir arada kullanarak dikkat çekiyor. Check Point Research tarafından yapılan analize göre, İran Devrim Muhafızları (IRGC) bağlantılı Nimbus Manticore grubu, Şubat ve Nisan 2026 arasında üç dalga halinde gerçekleştirdiği operasyonlarla, ABD'nin 28 Şubat'ta başlattığı Epic Fury askeri harekatıyla eş zamanlı olarak faaliyet gösterdi.
UNC1549 olarak da izlenen grup, geçmişte savunma, havacılık ve telekomünikasyon sektörlerine yönelik sahte iş teklifleri içeren kimlik avı saldırıları düzenlemişti. Son operasyonlarında ise ABD, Avrupa ve Orta Doğu'daki havacılık firmalarını ve yazılım sağlayıcılarını taklit eden sahte web siteleri oluşturdular. En dikkat çekici değişim ise Nisan ayında yaşandı; grup, alışılagelmiş sahte iş ilanlarını bırakarak Oracle'ın SQL Developer veritabanı aracını taklit eden bir indirme sayfası oluşturdu.
Saldırganlar, sahte siteye yönlendiren düzinelerce alan adı kaydettirdi ve sayfalarını, arama motorlarında üst sıralara çıkmak için anahtar kelimelerle doldurdu. Analiz sırasında, sitenin Bing ve DuckDuckGo'da ilgili yazılım aramalarında üst sıralarda yer aldığı tespit edildi. Bu, araştırmacıların grubu ilk kez doğrudan kimlik avı yerine arama motoru zehirleme yöntemi kullanırken görmesi açısından önemli bir dönüm noktası oldu.
Uzmanların Görüşleri
Önceki dalgalar ise daha tanıdık yöntemlere dayanıyordu: sahte toplantı davetiyeleri aracılığıyla dağıtılan truva atı bulaştırılmış Zoom yükleyicisi ve OnlyOffice platformunda barındırılan ZIP arşivleri. Kampanya boyunca grup, AppDomain hijacking adlı bir teknik kullandı; bu yöntemde, güvenilir bir .NET uygulamasının yanına kurcalanmış bir yapılandırma dosyası yerleştirilerek kötü amaçlı bir DLL'nin yüklenmesi sağlanıyor.
Önemli Gelişmeler
Yeni kampanyada ayrıca, daha önce belgelenmemiş MiniFast adlı bir backdoor kullanıldı. 64-bit Windows DLL'si olan MiniFast, tam özellikli bir implant olarak çalışıyor ve komuta-kontrol (C2) sunucusuyla JSON üzerinden iletişim kurarken trafiğini Chrome tarayıcı gibi gizliyor. Opcode tabanlı komut seti; kabuk çalıştırma, dosya transferi, süreç kontrolü ve zamanlanmış görev kalıcılığı gibi işlevleri kapsıyor.
Check Point araştırmacıları, hem yükleyicilerin hem de backdoor'un, yapay zeka destekli geliştirme izleri taşıdığını belirtiyor. Kodda önemsiz işlevler etrafında aşırı hata yönetimi, ayrıntılı ve tekrarlayan adlandırma kalıpları ve hata ayıklama tarzı durum dizeleri gibi özellikler, grubun savaş baskısı altında bile hızlı araç geliştirme ve yüksek operasyonel tempo sürdürmesine yardımcı olmuş olabilir.
Bu kampanya, siber güvenlik uzmanları için önemli dersler içeriyor. Özellikle havacılık gibi kritik sektörlerde çalışan kurumların, kimlik avı e-postalarına ve arama motoru sonuçlarına karşı daha dikkatli olmaları gerekiyor. Ayrıca, yapay zeka destekli kötü amaçlı yazılımların tespitini zorlaştırabileceği için, güvenlik ekiplerinin davranışsal analiz ve anomali tespit sistemlerini güncellemeleri öneriliyor.
Kaynak: infosecurity-magazine.com