Avrupa Devlet Kurumlarına Yönelik Yeni Saldırı Dalgası
Dünya genelinde siber güvenlik faaliyetlerini izleyen uzmanlar, TA416 olarak bilinen ve Çin ile bağlantılı olduğu düşünülen siber saldırgan grubunun, 2025 yılının ortalarından itibaren rotasını yeniden Avrupa'ya çevirdiğini ortaya koydu. Uzun bir süre daha düşük profilli operasyonlar yürüten grup, özellikle Avrupa Birliği ve NATO bünyesindeki diplomatik misyonları hedef alan yeni ve karmaşık kampanyalar başlattı.
Proofpoint araştırmacıları tarafından yapılan analizler, bu saldırıların sadece teknik birer girişim olmadığını, aynı zamanda bölgedeki siyasi hareketliliğe göre şekillenen stratejik bir casusluk faaliyeti olduğunu gösteriyor. Saldırganlar, kullandıkları enfeksiyon yöntemlerini sürekli güncelleyerek güvenlik duvarlarını aşmaya çalışıyor.
Yöntem Değişimi ve Teknik Detaylar
Saldırıların merkezinde, oldukça gelişmiş ve özelleştirilmiş bir arka kapı yazılımı olan PlugX yer alıyor. Grup, bu yazılımı kurbanların sistemlerine sızdırmak için Microsoft Azure Blob Storage, Google Drive ve ele geçirilmiş SharePoint örnekleri gibi meşru platformları kullanıyor. Bu durum, saldırıların tespit edilmesini zorlaştıran en önemli faktörlerden biri olarak öne çıkıyor.
Saldırganlar ayrıca, e-posta içeriklerine yerleştirilen görünmez pikseller sayesinde hedeflerin IP adreslerini, tarayıcı bilgilerini ve e-postanın açılıp açılmadığını takip edebiliyor. Bu "web hatası" yöntemi, saldırganların bir sonraki adımda hangi yöntemi kullanacaklarını belirlemeleri için kritik bir keşif süreci görevi görüyor.
OAuth İstismarı ile Güvenlik Engellerini Aşmak
Saldırı zincirinin en dikkat çekici kısımlarından biri, Microsoft Entra ID gibi bulut uygulamalarının istismar edilmesidir. Kullanıcılar, oltalama e-postalarındaki bir bağlantıya tıkladıklarında, meşru bir OAuth yetkilendirme sayfasına yönlendiriliyor. Bu teknik, geleneksel e-posta güvenlik sistemlerinin "güvenli" olarak algıladığı bağlantıları kullanarak savunma mekanizmalarını devre dışı bırakıyor.
Daha sonraki aşamalarda ise saldırganlar, Microsoft MSBuild yürütülebilir dosyasını kullanarak kötü amaçlı C# proje dosyalarını çalıştırıyor. Bu yöntemle sisteme sızan PlugX, komuta kontrol sunucularıyla şifreli bir iletişim kanalı kurarak sisteme tam erişim sağlıyor. Yazılım, sistem bilgilerini toplama, dosya indirme ve komut satırı üzerinden uzaktan kontrol sağlama gibi yeteneklere sahip.
TA416 Grubunun Küresel İstihbarat Ajandası
Grubun faaliyetleri sadece Avrupa ile sınırlı kalmıyor; Şubat 2026'nın sonlarında başlayan Orta Doğu'daki çatışmaların ardından, bölgedeki diplomatik ve devlet kurumlarına yönelik saldırıların da ciddi oranda arttığı gözlemleniyor. Bu durum, saldırgan grubun kendi önceliklerini jeopolitik krizlere göre dinamik bir şekilde değiştirdiğini kanıtlıyor.
Uzmanlar, bu saldırıların arkasındaki grubun, Mustang Panda ve Earth Preta gibi diğer bilinen gruplarla teknik benzerlikler taşıdığını vurguluyor. Bu kolektif yapı, saldırılarında özellikle DLL yan yükleme (side-loading) tekniğini kullanarak güvenlik yazılımlarının dikkatinden kaçmayı başarıyor.
Siber Casuslukta Stratejik Sabır ve Uzun Vadeli Erişim
Darktrace tarafından gerçekleştirilen yakın tarihli bir araştırma, Çin bağlantılı operasyonların artık rastgele saldırılardan ziyade, uzun vadeli kalıcılığı hedefleyen kimlik odaklı sızmalara dönüştüğünü gösteriyor. Bazı durumlarda saldırganların, sistemi tamamen ele geçirdikten sonra aylarca sessiz kalarak 600 günden fazla bir süre sonra yeniden ortaya çıktığı tespit edildi. Bu tür "operasyonel duraklamalar", saldırganların sadece anlık veri çalmakla ilgilenmediğini, kritik altyapılara sızarak kalıcı bir stratejik avantaj elde etmeyi hedeflediğini gözler önüne seriyor.