Güvenlik açığı sömürülmelerinin izlenmesi ve analizi, Sekoia.io’nun Tehdit Tespit ve Araştırma (TDR) ekibinin temel sorumlulukları arasındadır.
Honeypot’ları kullanarak ekip, trafik hedefleme kenar cihazlarını ve internete dönük uygulamaları izler.
22 Temmuz 2025’te, Honeypot’larımızda şüpheli ağ izleri ortaya çıktı, bir hücresel yönlendiricinin API’sının kimlik avı URL’leri içeren kötü niyetli SMS mesajları aracılığıyla smishing kampanyaları sunmak için kullanıldığını ortaya koyuyor.
Analiz, Belçika’nın odaklanmış bir hedeflemesini, CSAM ve Ebox gibi saldırılara ve +32 ülke kodunu kullanan saldırılara odaklanmıştır.
Milesight Industrial Hücresel Yönlendirici Honeypot’lardan gelen kütükler, /cgi SMS mesajları göndermek için açıkça kullanılan JSON yükleri ile bitiş noktası.
İzler, Haziran 2025’in sonlarında başladı – bu bal pistleri konuşlandırıldıktan sonra – ve sadece IP Adresi 212.162.155’ten kaynaklandı[.]38 AS PODAON SIA.
Çıkarılan mesajlar Hollandaca veya Fransızca yazılmış, hedeflenen Belçika numaraları (+32) ve resmi Belçika hizmetlerinin yazım hatası alanları kullanılmıştır.
Sadece SMS tabanlı kimlik avı hedefleyen bir operasyon olduğunu gösteren, arka kapı veya başka bir cihaz sömürüsü kanıtı gözlenmemiştir.
Güvenlik Açığı Genel Bakış
Kütükler, geçerli bir kimlik doğrulama çerezinin kullanıldığını gösterdi, ancak şifre CVE-2023-43261 sömürü yöntemlerinden AES tuşları kullanılarak şifre çözülemedi.
Biptin Jitiya tarafından orta bir yazı, birkaç milight yönlendiricisinin HTTP aracılığıyla şifreli yönetici kimlik bilgilerini ve hassas günlükleri açığa çıkardığını açıkladı.
Bununla birlikte, testlerimiz, birçok yönlendiricinin SMS özelliklerine kime doğrulanmamış erişime izin verdiğini ve saldırganların gelen kutusu/dış kutusu verilerini almasını veya kimlik doğrulaması olmadan mesaj göndermesini sağladığını ortaya çıkardı.
Yetkısız yazı istekleri /cgi Gibi parametreleri kullanmak query_outbox veya query_inbox Zaman damgası, mesaj içeriği, alıcı numaraları ve durum göstergeleri (başarı veya başarısız) ile JSON nesneleri üretin.
Yüksek hacimli “başarısız” durumlar, saldırganların ilk olarak yönlendiricileri toplu kampanyalar başlatmadan önce kontrol ettikleri telefon numaralarına karşı test etmeyi önerir – kümeleme ve tespitte yardımcı olabilecek operasyonel bir parmak izi.
Savunmasız varlıkların kapsamı
Bir Shodan araması, kamusal internette maruz kalan 19.000’den fazla Milownight endüstriyel hücresel yönlendiriciyi tanımladı – yarısı Avustralya’da bulundu, Fransa ve Türkiye de yoğun bir şekilde temsil edildi.
6.643 kontrol edilen cihazdan 572 izin verilmeyen API erişimi, birçoğu modası geçmiş ürün yazılımı (32.2.xx, 32.3.xx).
Avrupa, savunmasız yönlendiricilerin neredeyse yarısını oluşturmaktadır, Avrupa telefon numaralarına güvenilir SMS teslimatını kolaylaştırır ve o bölgenin orantısız hedeflemesini açıklar.
Bu güvenlik açığından yararlanan kampanyalar Şubat 2022’ye kadar uzanıyor. Kampanya ile kümelenen toplanan SMS örnekleri, 42.044 İsveç ve 31.353 İtalyan sayılarına eşzamanlı kitle mesajlarını ortaya çıkarırken, Belçika ve Fransız hedefleri tekrarlanan, farklı kampanyalarla karşılaştı.
Belçika mesajları, CSAM ve Ebox ile taklit etti ve kötü niyetli bağlantılarla derhal dikkat gerektiren sahte bildirimler sundu.
Fransız kampanyaları, sağlık kartı yenilemelerinden bankacılık güvenlik uyarılarına kadar çeşitli bahaneler kullanarak Ameli, La Poste, GLS ve Crédit Agricole gibi hizmetleri taklit etti.
Kimlik avı altyapısı
Saldırganın altyapısı, Namesilo aracılığıyla kaydedilen ve Podaon Sia tarafından barındırma alanlarına dayanmaktadır. Belçika odaklı kampanyalarda, csam.ebox-login[.]xyz Ve ebox.csam-trust[.]xyz IP’lere yöneldi ve aktif kaldı.
![Ebox.csam-Trust[.]XYZ URL tarama analizi.](https://gbhackers.com/wp-content/uploads/2025/09/image5-1024x461-1.png)
Kimlik avı sayfaları, masaüstü kum havuzlarından kaçmak için bir JavaScript “dettect_device.js” aracılığıyla mobil ortamları kontrol eder.
Daha geniş kampanyalar kullandı jnsi[.]xyz Rusya AS211860 kapsamındaki etki alanı kümesi, Netflix’ten Telia’ya yönelik hizmetleri taklit eder, gizlenmiş senaryolar (Groozav2) analizi engeller.
Bu kampanya, ölçekte oldukça etkili bir smaching operasyonları için ne kadar basit, erişilebilir altyapının ne kadar silahlandırılabileceğini vurgulamaktadır.
Saldırganlar birden fazla ülkede SMS dağılımını ademi merkezileştirerek, tespitten kaçınır ve kârlı kimlik avı kampanyalarını sürdürür.
Devam eden uyanıklık kritiktir: kullanıcılar, özellikle kısaltılmış URL’ler, acil dil veya gramer hataları olan istenmeyen mesajları incelemelidir. Farkındalık ve şüphecilik, gelişen şaşkınlık tehditlerine karşı ilk savunma hattı olmaya devam ediyor.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.