Siber güvenlik araştırma firması Darktrace’in son raporu, Salt Typhoon olarak bilinen bir grup devlet destekli (APT) aktörün dünya genelindeki ağlar için önemli bir tehdit olmaya devam ettiğini ortaya koyuyor.
Şirketin Hackread.com ile paylaştığı analize göre, Çin Halk Cumhuriyeti (PRC) ile bağlantılı olduğuna inanılan bilgisayar korsanları, kritik altyapıyı ihlal etmenin yeni yollarını bulmaya devam ediyor.
Tuz Tayfunu
En az 2019’dan beri aktif olan Salt Typhoon, 80’den fazla ülkede telekomünikasyon sağlayıcıları, enerji ağları ve hükümet sistemleri dahil olmak üzere önemli hizmetleri hedef alan bir casusluk grubudur.
Earth Estries ve GhostEmperor gibi takma adlarla da takip edilen bu grup, uzun vadeli ağ erişimini sürdürmek için özel araçlar ve sıfır gün açıkları da dahil olmak üzere yeni keşfedilen yazılım açıklarını kullanan gizlilik konusunda uzmandır.
Daha önce Hackread.com tarafından bildirildiği üzere grup yüksek etkili ihlaller gerçekleştirdi; 2024’ün sonlarında, yaklaşık bir yıl boyunca ABD eyaletinin Ordu Ulusal Muhafız ağına sızdılar. Dahası, FBI ve Kanada Siber Merkezi Haziran 2025’te grubun sürekli olarak AT&T, Verizon ve T-Mobile gibi büyük ABD şirketleri de dahil olmak üzere küresel telekom ağlarını hedeflediği konusunda uyararak kampanyalarının stratejik doğasını vurguladı.
Temmuz 2025 Saldırısının İçinde
Darktrace’in blog gönderisine göre, yakın zamanda Salt Typhoon’un bir Avrupa telekomünikasyon kuruluşuna yönelik izinsiz giriş girişimlerinden birini gözlemledi. Saldırı muhtemelen Temmuz 2025’in ilk haftasında Citrix NetScaler Gateway cihazının kullanılmasıyla başladı.
Saldırganlar daha sonra izlerini gizlemek için muhtemelen bir SoftEther VPN hizmetine bağlı bir giriş noktası kullanarak sanal masaüstü bilgisayarlar için kullanılan dahili ana bilgisayarlara (Citrix Virtual Delivery Agent (VDA) ana bilgisayarları) taşındı.
Saldırganlar, DLL yan yükleme adı verilen bir teknik kullanarak bu dahili makinelere SNAPPYBEE (diğer adıyla Deed RAT) adı verilen kötü amaçlı bir arka kapı gönderdi. Bu yöntem, geleneksel güvenlik kontrollerini atlamak için yüklerini Norton Antivirus veya Bkav Antivirus gibi antivirüs programları da dahil olmak üzere meşru, güvenilir yazılımların içine gizlemeyi içerir.
Kurulduktan sonra arka kapı, tespitten daha fazla kaçınmak için çift kanallı kurulum kullanan talimatlar için harici sunucularla (LightNode VPS uç noktaları) temasa geçti.
Zamanında Tespit Yeni Savunma Stratejisidir
Neyse ki izinsiz giriş tespit edildi ve tamamen tırmanmadan durduruldu. Darktrace’in anormallik tabanlı tespiti (Siber Yapay Zeka Analisti), sürekli olarak normal ağ etkinliğindeki küçük sapmaları arar ve saldırıyı çok erken aşamalarında işaretler.
Firma, “Salt Typhoon’un gizliliği, kalıcılığı ve yasal araçların kötüye kullanılmasıyla savunuculara meydan okumaya devam ettiğini” belirtti ve bu da olağandışı ağ davranışlarını kontrol etmenin neden gerekli olduğunu güçlendirdi. Bu nedenle kuruluşlar, bilinen tehditlerin bir listesini (imza eşleştirme) kontrol etmenin ötesine geçmeli ve bunun yerine görünmez düşmanların incelikli eylemlerini tespit etmeye odaklanmalıdır.
Burlington, Massachusetts merkezli uygulama güvenliği çözümleri sağlayıcısı Black Duck’ın Baş Danışman Yardımcısı Neil Pathare, izinsiz giriş faaliyetlerini ele alırken imza tabanlı tespitin ötesine geçmenin çok önemli olduğunu söyledi.
Güvenlik ekiplerinin sürekli doğrulama için sıfır güven modeli uygulaması ve çevresel aygıtlar ve özel ağ aygıtları arasındaki olağandışı süreçler veya şüpheli davranışlara karşı sürekli izlemeyi sürdürmesi gerektiğini ekledi. Pathare’ye göre bu yaklaşım, yazılıma olan güvenin korunmasına yardımcı oluyor ve kuruluşların artan risklere rağmen inovasyonu güvenle yürütmesine olanak tanıyor.