Çığır açan bir analizde, siber güvenlik firması Kela, operasyonel stil, hedef seçimi ve iki Yemen bağlantılı tehdit aktörleri arasında olası bir bağlantı olduğunu gösteren çevrimiçi varlıkta çarpıcı paralellikler ortaya koyuyor: yakın zamanda ortaya çıkan Belsen grubu ve uzun süredir devam eden Zerosevengroup.
Belsen grubu kim?
Belsen Grubu, Ocak 2025’in başlarında, Belsen_Group’un kolunun altındaki BreachForums’un bir yazı ile 15.000’den fazla savunmasız Fortinet Fortigate Forgialls’tan hasat edilen 1.6 GB hassas verilerin sızmasını duyurdu.
Maruz kalan bilgiler, hepsi kritik CVE-2022-406841 kimlik doğrulama baypas kusurundan yararlanarak elde edilen IP adreslerini, cihaz yapılandırmalarını ve VPN kimlik bilgilerini içeriyordu.
Başlangıçta veri kümesini ücretsiz olarak sunarak, grup siber suç yeraltında hızla güvenilirlik sağladı. Kısa bir süre sonra Belsen_Group özel bir TOR tabanlı blog başlattı ve Afrika, Kuzey Amerika ve Asya’daki kurbanlara ağ erişimi satmaya başladı.
Başından beri, Belsen_Group, Breachforums, Twitter ve soğan sitesinde kurban listelerini yansıtırken çeşitlendirilmiş bir dizi iletişim kanalını sürdürdü – Tox, XMPP, Telegram ve X -.
Grubun 10 Ocak 2025’te oluşturulan Twitter hesabı, ihlal duyurularını tekrarlar ve kayıt için kısmen düzeltilmiş bir Gmail adresini listeler.
Sadece bir kez, bir Breachforums post ve twitter’da bir telgraf kişisini paylaştılar: @BelSenAdmin (ID 6161097506). OSINT, 2023 yılında “KY” adı altında kayıtlı olan bu kullanıcıyı eski Heades @M_KYAN0 ve @mmmkkk000000’e bağlar.
Hesabın aboneliklerinin analizi, siber güvenlik sertifikasyon kanalları, yetişkin temalı gruplar, Yemen’deki bölgesel Arap forumları ve hatta bir anime tartışma sayfasıyla bağları ortaya koymaktadır.
Telegram ile ilgili yakın tarihli bir @BelsenAdmin mesajı, EWPTX Sertifikasyon Kursu hakkında bilgi istedi ve aktörün ilgi alanlarının altını çizdi.
Zeroseven grubu kimdir?
Zerosevengroup, Temmuz 2024’ten bu yana aktif, başlangıçta BreachFforums, Crackedto ve Leakbase’e genişlemeden önce Nulledto’ya gönderiyor.
Grup, Polonya, İsrail, ABD, BAE, Rusya ve Brezilya’daki şirketlere odaklanan çalıntı veri tabanları ve ağ erişimleri konusunda uzmanlaştı.
Erken sızıntılar özgürdü, ancak 2024’ün sonlarına kadar Terabox ve Mega aracılığıyla daha büyük veri kümeleri satarak operasyonlarından para kazandılar.
Ağustos 2024’te Zerosevengroup, Toyota’nın ABD şubesini ihlal etmek ve 240 GB veri sızdırmak için sorumluluk iddia etti-Toyota üçüncü taraf bir uzlaşmayı kabul etmeden önce kısaca küçümsedi.
Kasım 2024’e kadar Zerosevengroup, eski veya sahte ağ kimlik bilgilerini satarak Medusa Fidye Yazılım Kolektifi’ni dolandırma iddialarıyla karşı karşıya kaldı.
Kısa bir durgunluktan sonra, grup Ocak 2025’te istismar forumunda yeniden ortaya çıktı ve C2 ve VPN’nin bir İtalyan hükümet kuruluşuna ve ABD ve Japonya’daki hedeflere erişim sağladı.
Kela’nın soruşturması, en erken Temmuz 2024 etkinliğini, bir e-posta adresine ve Infostealer ile enfekte olmuş bir ana bilgisayara bağlanan sızdırılmış dosyaları kilitlemek için kullanılan benzersiz bir şifreye kadar izledi-hem Yemen’e hem de Yemen Shield Hacking Grubu’na bağlı.
Ek kanıtlar, grubun kökenlerini Raidforums’a kadar izledi ve burada Zerox296 kullanıcı adı altında “ZeroxGroup” olarak çalıştı.
Olası bağlantı kanıtı
Kela analistleri Belsen_Group ve Zerosevengroup arasında birkaç zorlayıcı örtüşme belirledi.
Her iki varlık da aynı başlık sonrası formatını kullanır ”[ Access ]”Kare parantez ve boşluklar ve duyuruları ile sonlandırın yakın cümleler ve yapısal şablonlar bulunur.
Kela’nın platformu üzerindeki farklı bir anahtar kelimenin kombinasyonu için hedefli bir arama, sadece bu iki aktöre bağlı sonuçlar. Ayrıca, Twitter etkinliklerinin gözden geçirilmesi, #Hack hashtag kullanımının tutarlı bir modelini ortaya çıkardı.
Coğrafi konum göstergeleri ayrıca Yemen’e ortak bir taban olarak işaret ediyor, her iki grup da ağ erişim satışlarında uzmanlık gösteriyor ve benzer iletişim altyapılarından yararlanıyor. “Grup” teriminin tutarlı kullanımı tutarlı bir şekilde kullanılması olası bir marka stratejisinin altını çizmektedir.
Bu bulgular reddedilemez bir kanıttan yoksun olsa da, stilistik, teknik ve altyapı belirteçlerinin yakınsaması, Belsen Grubu ve Zerosevengroup arasında en az bir dereceye kadar bağlantı veya paylaşılan kaynakları önermektedir.
Siber güvenlik profesyonelleri, koordineli kampanyalar için her iki varlığı da izlemeli ve CVE-2022-406841 gibi uzun uykuda olan güvenlik açıklarının sömürülmesinin daha derin, daha kalıcı erişim yetenekleri olup olmadığını değerlendirmelidir.
Bu potansiyel işbirliğini anlamak, gelecekteki saldırıları öngörmede ve Yemen bağlantılı siber suçlu ağlara karşı savunma duruşlarını güçlendirmede kritik olabilir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.