MuddyWater Sahte Bayrak Fidye Yazılımı Saldırısı

İran devlet destekli tehdit grubu MuddyWater, Mango Sandstorm, Seedworm ve Static Kitten gibi takma adlarla da takip ediliyor ve araştırmacıların sahte bayrak operasyonu olarak tanımladığı karmaşık bir fidye yazılımı kampanyasıyla bağlantılı olduğu ortaya çıktı. Saldırı başlangıçta Chaos fidye yazılımı markasını kullanan geleneksel bir Hizmet Olarak Fidye Yazılımı (RaaS) operasyonuyla ilişkili faaliyetlere benzese de, daha derinlemesine analiz, mali motivasyonlu şantaj olarak gizlenmiş hedefli bir devlet destekli siber saldırıyla tutarlı özellikler ortaya koydu.

2026 yılının başlarında tespit edilen operasyon, Microsoft Teams üzerinden gerçekleştirilen sosyal mühendisliğe büyük ölçüde dayanıyordu. Saldırganlar, kurbanlarla son derece etkileşimli görüşme oturumları düzenleyerek, kimlik bilgilerini toplamak ve çok faktörlü kimlik doğrulama süreçlerini manipüle etmek için ekran paylaşımı işlevinden yararlandılar. Erişimi sağladıktan sonra, tehdit aktörleri büyük ölçekli dosya şifreleme gibi geleneksel fidye yazılımı taktiklerini terk ederek bunun yerine veri hırsızlığına, gizli kalıcılığa ve uzaktan yönetim araçları aracılığıyla uzun vadeli ağ erişimine odaklandılar.

Siber Suç Taktikleri Devlet Operasyonlarını Gizlemek İçin Kullanılıyor

Araştırmacılar, bu kampanyanın MuddyWater'ın siber suç ekosistemleriyle yaygın olarak ilişkilendirilen araç ve teknikleri benimseyerek sorumluluğu gizleme yönünde kasıtlı bir çabasını yansıttığına inanıyor. Grup, CastleRAT ve Tsundere gibi araçlar da dahil olmak üzere, ticari olarak temin edilebilen yeraltı kötü amaçlı yazılımlarını ve uzaktan erişim çerçevelerini operasyonlarına giderek daha fazla entegre etti.

Bu taktik, casusluk ve yıkıcı faaliyetleri fidye yazılımı tarzı operasyonlarla harmanlayan önceki MuddyWater kampanyalarıyla örtüşüyor. 2020'de grup, Thanos fidye yazılımının yıkıcı bir varyantını yaymak için PowGoop yükleyicisini kullanarak büyük İsrail kuruluşlarını hedef aldı. 2023'te Microsoft, fidye yazılımı olayları gibi görünen saldırılar sırasında grubu DarkBit kişiliğiyle ilişkili bir aktör olan DEV-1084 ile ilişkilendirdi. 2025'in sonlarına doğru, İran bağlantılı operatörlerin bir İsrail devlet hastanesine karşı Qilin fidye yazılımı kullandığından da şüphelenildi.

Güvenlik araştırmacıları, son saldırı kampanyasının muhtemelen İran bağlantılı operatörler tarafından, yerleşik siber suç altyapıları üzerinden ve daha geniş jeopolitik hedefler doğrultusunda gerçekleştirildiği sonucuna vardılar. Qilin'in kullanımı ve fidye yazılımı bağlantılı ekosistemlere katılım, saldırganlara operasyonel örtü, inkar edilebilirlik ve gelişmiş saldırı yeteneklerine erişim sağlarken, İsrail'in artırılmış savunma gözetiminden kaçmalarına da yardımcı oldu.

Chaos RaaS: Büyüyen Bir Şantaj Ekosistemi

Chaos, 2025 yılının başlarında agresif çifte gasp taktikleriyle bilinen bir fidye yazılımı hizmeti (Ransomware-as-a-Service) operasyonu olarak ortaya çıktı. Grup, RAMP ve RehubCom gibi yeraltı siber suç forumlarında ortaklık programını tanıttı ve operasyonel erişimini hızla genişletti.

Kaos kampanyaları genellikle e-posta bombardımanı, sesli kimlik avı ve Microsoft Teams taklit saldırılarını bir araya getirir; bu saldırılarda tehdit aktörleri BT destek personeli gibi davranır. Kurbanlar, Microsoft Quick Assist gibi uzaktan erişim uygulamalarını yüklemeye yönlendirilir; bu da saldırganların kurumsal ortamlarda yer edinmelerini, ayrıcalıklarını yükseltmelerini, yatay hareket etmelerini ve fidye yazılımı yüklerini dağıtmalarını sağlar.

Grup ayrıca giderek daha agresif gasp yöntemleri de sergiledi:

• Veri hırsızlığı ve fidye talepleri yoluyla çifte gasp.
• Dağıtılmış hizmet reddi (DDoS) saldırıları tehditlerini içeren üçlü şantaj.
• Dörtlü şantaj taktikleri; mağdurlar üzerindeki baskıyı artırmak için müşterilerle, ortaklarla veya rakiplerle iletişime geçme tehditlerini de içerir.

Mart 2026 itibarıyla Chaos, sızıntı platformunda 36 kurban vermişti ve bu kurbanların çoğu Amerika Birleşik Devletleri'nde bulunan kuruluşlardı. İnşaat, imalat ve iş hizmetleri sektörleri en çok hedef alınan sektörler arasında yer alıyordu.

Girişimin Anatomisi

İncelenen sızma sırasında, saldırganlar güven kazanmak ve ekran paylaşımı oturumlarını teşvik etmek amacıyla çalışanlarla harici Microsoft Teams görüşmeleri başlattı. Ele geçirilen kullanıcı hesapları daha sonra keşif, kalıcı erişim, yatay hareket ve veri sızdırma amacıyla kullanıldı.

Saldırganlar, kurban sistemlerine bağlıyken keşif komutları çalıştırdı, VPN ile ilgili dosyalara erişti ve kullanıcılara yerel olarak oluşturulmuş metin belgelerine kimlik bilgilerini manuel olarak girmeleri talimatını verdi. Birçok durumda, uzaktan erişim yeteneklerini güçlendirmek için AnyDesk kurulmuştu.

Saldırganlar ayrıca, curl yardımcı programını kullanarak 172.86.126.208 adresindeki harici sunucudan "ms_upd.exe" adlı bir yürütülebilir dosyayı almak için Uzaktan Masaüstü Protokolü (RDP) kullandılar. Çalıştırıldıktan sonra, kötü amaçlı yazılım, ek zararlı bileşenler dağıtmak ve kalıcı komuta ve kontrol iletişimi kurmak için tasarlanmış çok aşamalı bir enfeksiyon zinciri başlattı.

Kampanyanın Arkasındaki Kötü Amaçlı Yazılım Cephaneliği

Bulaşma zinciri, kalıcılığı sağlamak ve uzaktan komutlar yürütmek için birlikte çalışan birkaç farklı kötü amaçlı yazılım bileşenini içeriyordu:

• 'ms_upd.exe' (Stagecomp), sistem bilgilerini topladı ve 'game.exe', 'WebView2Loader.dll' ve 'visualwincomp.txt' dahil olmak üzere ikincil yükleri indirmek için bir komuta ve kontrol sunucusuyla iletişime geçti.
• 'game.exe' (Darkcomp), resmi WebView2APISample projesine dayanan meşru bir Microsoft WebView2 uygulaması gibi görünen özel bir uzaktan erişim truva atı olarak işlev görüyordu.

• 'WebView2Loader.dll', Microsoft Edge WebView2 işlevselliği için gerekli olan meşru bir bağımlılık olarak görev yapmıştır.

• 'visualwincomp.txt' dosyası, RAT'ın komuta ve kontrol altyapısını tanımlamak için kullandığı şifrelenmiş yapılandırma verilerini içeriyordu.

Etkin hale geldikten sonra, uzaktan erişim truva atı her 60 saniyede bir komuta sunucusuyla sürekli iletişim kurarak operatörlerin PowerShell komut dosyaları yürütmesine, sistem komutları çalıştırmasına, dosyaları değiştirmesine ve etkileşimli komut satırı oturumları başlatmasına olanak sağladı.

Operasyonun MuddyWater ile Bağlantısını Gösteren Kanıtlar

'Donald Gay' ile ilişkilendirilen ve 'ms_upd.exe' kötü amaçlı yazılım örneğini imzalamak için kullanılan bir kod imzalama sertifikasının keşfi, MuddyWater'a atfedilen sorumluluğu güçlendirdi. Aynı sertifika daha önce Fakeset olarak bilinen bir CastleLoader indirici varyantı da dahil olmak üzere MuddyWater kötü amaçlı yazılımlarıyla ilişkilendirilmişti.

Araştırmacılar, operasyonun devlet destekli casusluk faaliyetleri ile siber suçluların operasyonel yöntemleri arasında önemli bir yakınlaşmayı gösterdiğini belirtti. Fidye yazılımı markalaşmasının, şantaj görüşmelerinin ve ticari olarak temin edilebilen kötü amaçlı yazılım çerçevelerinin entegrasyonu, faillerin belirlenmesini zorlaştırdı ve savunma dikkatini uzaktan erişim araçlarıyla oluşturulan uzun vadeli kalıcılık mekanizmalarından ziyade acil fidye ödeme faaliyetlerine yönlendirdi.

Saldırının Dikkat Çekmesinin Sebebi

Kampanyanın en sıra dışı yönlerinden biri, Chaos fidye yazılımı unsurlarının kullanılmasına rağmen yaygın dosya şifrelemesinin görünürde olmamasıydı. Standart fidye yazılımı davranışından bu sapma, fidye yazılımı bileşeninin birincil görev hedefi olmaktan ziyade öncelikle kamuflaj veya operasyonel yanıltma işlevi gördüğünü güçlü bir şekilde düşündürmektedir.

Kampanya ayrıca, İranlı tehdit aktörleri arasında siber suç araçlarını devlet destekli operasyonlara entegre etme eğiliminin giderek arttığını da vurguluyor. MuddyWater gibi gruplar, mevcut yeraltı altyapılarını ve kötü amaçlı yazılım ekosistemlerini kullanarak daha fazla operasyonel esneklik kazanıyor, iç geliştirme maliyetlerini düşürüyor ve hem savunmacılar hem de istihbarat analistleri için failleri belirleme çabalarını önemli ölçüde zorlaştırıyor.