Siber güvenlik araştırmacıları, bir fidye yazılımı grubu ile tedarik zinciri saldırıları yoluyla kimlik bilgileri çalan bir siber suç çetesinin ortaklık kurmasını 'endüstriyelleşmiş fidye yazılımının eşi benzeri görülmemiş bir modeli' olarak nitelendiriyor. Sophos'un detaylandırdığına göre, işbirliği Vect fidye yazılımı grubu ile TeamPCP arasında gerçekleşti. TeamPCP'nin, özellikle geliştiricileri hedef alan büyük ölçekli tedarik zinciri saldırılarıyla bilinen, İngilizce konuşan siber suçlulardan oluşan bir kolektif olduğu düşünülüyor. Sophos, 2 Temmuz'da yayınladığı blog yazısında, TeamPCP'nin büyük ölçekli tedarik zinciri kimlik bilgisi hırsızlığı ile Vect'in hizmet olarak fidye yazılımı (RaaS) operasyonunun birleşmesinin 'fidye yazılımı tehdit ortamında anlamlı bir değişim' olduğu uyarısında bulundu.
Bu ortaklığın sonucu, TeamPCP tarafından çalınan giriş kimlik bilgilerine sahip herhangi bir kuruluşun, aynı zamanda Vect tarafından düzenlenecek bir fidye yazılımı saldırısının kurbanı olma riskiyle karşı karşıya kalmasıdır. Her iki grup da geçmişte diğer siber suç operasyonlarıyla çalışmıştı. Vect, 2025'in sonunda ortaya çıkmasına rağmen 2026'nın başlarında BreachForums ile ortaklık anlaşması yapmıştı. TeamPCP ise daha önce kötü şöhretli Lapsus$ grubu da dahil olmak üzere gasp çeteleriyle çalışmıştı. Ancak TeamPCP ve Vect arasındaki ortaklık, TeamPCP'nin ele geçirdiği çok sayıda hesap göz önüne alındığında özellikle güçlü olabilir. Örneğin, Mart 2026'da TeamPCP, Aqua Security'nin Trivy güvenlik açığı tarayıcısını hedef aldı ve bu, 10.000 CI/CD iş akışının ele geçirilmesine ve bulut tokenları dahil 500.000'den fazla giriş kimlik bilgisinin çalınmasına yol açtı.
Sophos araştırmacıları, TeamPCP kaynaklı kimlik bilgileri kullanılarak en az bir doğrulanmış Vect fidye yazılımı dağıtımının tespit edildiğini belirtti. Sophos X-Ops Counter Threat Unit (CTU) Tehdit İstihbaratı Direktörü Rafe Pilling, 'Tehdit grupları giderek daha fazla işletme gibi hareket ediyor, ilgili uzmanlık yeteneklerini birleştirerek yeni saldırı hatları oluşturuyor. Yapay zeka giderek daha erişilebilir hale geldikçe, fidye yazılımı ortamının daha da hızlı endüstriyelleşmesini, saldırı başlatma işinin büyük bir kısmını otomatikleştirerek giriş engelini düşürmesini bekliyoruz' dedi. Siber suç ortaklığına ilişkin araştırma, FBI'ın TeamPCP'nin faaliyetleri hakkında bir FLASH uyarısı yayınladığı gün yayınlandı. FBI uyarısında, 'TeamPCP aktörleri, yaygın olarak kullanılan geliştirici ve güvenlik araçlarını hedef alarak büyük ölçekli yazılım tedarik zinciri ihlalleri gerçekleştirdi, kurban ortamlarına erişim sağladı ve bulut erişim tokenları, SSH anahtarları ve Kubernetes sırları dahil olmak üzere hassas verileri çaldı' ifadelerine yer verildi.
Teknik Analiz
FBI ayrıca TeamPCP kampanyalarıyla ilişkili olduğu bilinen bazı kötü amaçlı yazılımları ve bilgi hırsızlarını da detaylandırdı. Bunlar arasında CanisterWorm, Sandclock, kendini kopyalayan solucan Mini Shai-Hulud (açık kaynak depolarını hedef alır) ve Mini Shai-Hulud'un bir varyantı olan Miasma yer alıyor. TeamPCP'nin yazılım tedarik zincirlerini tehlikeye atmaya odaklanması ve Vect fidye yazılımı grubuyla ortaklığı göz önüne alındığında Sophos, kuruluşların birleşik tehdide karşı mümkün olduğunca iyi korunmalarının çok önemli olduğu uyarısında bulundu. Pilling, 'Yazılım geliştirme ortamı sessizce kurumsal en önemli ve en az yönetilen saldırı yüzeylerinden biri haline geldi. Kuruluşlar, maruziyeti hızlı bir şekilde değerlendirebilecek ve tedarik zinciri saldırılarına yanıt verebilecek bir duruşa geçmelidir. Üçüncü taraf güncellemelerini ortamlarına dağıtmadan önce bütünlüklerini ve güvenliklerini dikkatlice doğrulamaları çok önemlidir' diye ekledi.