CL0P fidye yazılımı grubu, en son gasp kampanyasında internete yönelik Gladinet CentreStack dosya sunucularını hedef alıyor gibi görünüyor.
Curated Intelligence projesi, bir LinkedIn gönderisinde, topluluğundaki olay müdahale ekiplerinin “İnternet’e yönelik CentreStack dosya sunucularını hedef alan yeni bir CLOP gasp kampanyasıyla karşılaştıklarını” söyledi.
Cyble, bugün müşterilerine gönderdiği bir notta, CL0P’nin, 100’den fazla kurbanı ağlara sokan Oracle E-Business Suite güvenlik açıklarından yararlanmasının ardından karanlık web veri sızıntısı sitesini (DLS) yeni bir kurban dalgasına hazırlıyor gibi göründüğünü söyledi.
Cyble, “Cl0p’nin DLS’sinin izlenmesi, Oracle E-Business Suite istismarıyla ilişkili önceden listelenen tüm kurbanların yakın zamanda arşivlendiğini ve farklı klasörler altında gruplandırıldığını gösteriyor; bu da yeni bir veri sızıntısı yayınları dalgasına hazırlık yapılmasını kuvvetle öneriyor” dedi. “Bu yeniden yapılandırma faaliyetinin, Gladinet CentreStack’in süregelen sömürüsüyle bağlantılı olduğu değerlendiriliyor; Cl0p muhtemelen kurbanları daha önceki toplu gasp kampanyalarına benzer şekilde koordineli ifşa için sahneye koyuyor. CentreStack kurbanlarıyla ilgili hiçbir kurban örneği veya son teslim tarihi henüz yayınlanmadı.”
CL0P Gladinet CentreStack Açıklarını Hedefliyor Olabilir
CL0P kampanyasının bilinen bir güvenlik açığından mı yoksa sıfır gün güvenlik açığından mı yararlandığı belli değil ancak Curated Intelligence, LinkedIn gönderisine yaptığı bir yorumda Ekim Huntress raporunun “Muhtemelen ilgili” olduğunu söyledi.
Bu rapor, Gladinet CentreStack ve TrioFox’ta bulunan ve 4 Kasım’da CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklenen, Harici Tarafların Erişebildiği Dosyalar veya Dizinler güvenlik açığı olan CVE-2025-11371’e odaklanıyordu.
10 Aralık tarihli bir raporda Huntress, tehdit aktörlerinin aynı zamanda CVE-2025-30406, Gladinet CentreStack Sabit Kodlu Şifreleme Anahtarı Kullanımı güvenlik açığı ve Gladinet CentreStack ve Triofox Sabit Kodlu Şifreleme güvenlik açığı olan CVE-2025-14611’i de hedeflediğini belirtti. CVE-2025-30406, Nisan ayında CISA KEV kataloğuna, CVE-2025-14611 ise 15 Aralık’ta KEV veritabanına eklendi.
Huntress, söz konusu gönderinin 18 Aralık tarihli güncellemesinde Küratörlü İstihbarat bulgularına dikkat çekti ve şunları söyledi: “Şu anda bunun cl0p fidye yazılımı çetesi tarafından istismar edildiğini kesin olarak söyleyemeyiz, ancak bu raporun zamanlamasını göz önünde bulundurarak, bu son tehdit istihbaratını paylaşmanın ihtiyatlı olduğunu düşündük.”
Huntress, Gladinet’in CentreStack web sitesinde 8 Aralık itibarıyla en son sürümün 16.12.10420.56791 sürümü olduğunu belirtti. Blog gönderisinde, “Potansiyel olarak etkilenen Gladinet müşterilerinin derhal bu en son sürüme güncelleme yapmalarını ve machineKey’in döndürüldüğünden emin olmalarını öneririz” denildi.
Curated Intelligence, son bağlantı noktası tarama verilerinin “CentreStack – Giriş” HTTP Başlığını çalıştıran 200’den fazla benzersiz IP gösterdiğini ve bunların “bu sistemlerde bilinmeyen bir CVE’den (n gün veya sıfır gün) yararlanan CLOP’un potansiyel hedefleri haline geldiğini” belirtti.
CL0P’nin Dosya Aktarımı Saldırılarının Geçmişi
Curated Intelligence, CL0P’nin dosya paylaşımı ve aktarım hizmetlerini hedefleme konusunda uzun bir geçmişe sahip olduğunu belirtti.
Proje, “Bu, bu düşmanın gerçekleştirdiği benzer bir veri gaspı kampanyasıdır” dedi. “CLOP, diğerlerinin yanı sıra Oracle EBS, Cleo FTP, MOVEit, CrushFTP, SolarWinds Serv-U, PaperCut, GoAnywhere gibi dosya aktarım sunucularını hedeflemesiyle ünlüdür.”
CL0P’nin Cleo MFT güvenlik açıklarından yararlanması, bu yılın başlarında rekor sayıda fidye yazılımı saldırısına yol açtı ve CL0P ayrıca Accellion FTA güvenlik açıklarından da başarıyla yararlandı.
Grubun güvenlik açıklarından geniş ölçekte başarılı bir şekilde yararlanma yeteneği, onu altı yıllık geçmişi boyunca ilk beş fidye yazılımı grubu arasına soktu (aşağıdaki resim Cyble’dan).
