Orta Doğu’daki siber savaşın önemli bir şekilde artmasında, İsrail devlet destekli tehdit aktörlerinden, “Gonjeshke Darande” (Yırtıcı Serçe) adı altında faaliyet gösteren 18 Haziran 2025’te İran’ın en büyük kripto para borsası Nobitex’e başarıyla sızdı.
Saldırganlar, fonları kâr için çıkarmak yerine, çeşitli kripto para birimlerinde, İran’ın İslam Devrim Guardorsnobit’i doğrudan ima eden politik olarak yüklü cüzdan adreslerine aktararak, yaklaşık 90 milyon ABD dolarını çeşitli kripto para birimlerinde kasıtlı olarak “yaktılar”.
Saldırı, İsrail hava saldırılarının 13 Haziran’da İran’dan derhal misillemeyi tetikleyen önemli İran askeri ve nükleer tesislerini hedeflemesinden sadece beş gün sonra değişken bir jeopolitik bağlamda meydana geldi.
.png
)
Gonjeshke Darande, yaptırım kaçakçılığıyla suçlanan bir finansal kurumu hedefleyerek İran’ın ekonomik altyapısına karşı sembolik bir grev yapmayı amaçladı.
Outpost24 araştırmacıları, operasyonun uzun vadeli stratejik planlamanın ayırt edici özelliklerini belirlediğini belirledi ve tehdit aktörlerinin son saldırıyı uygulamadan önce Nobitex’in iç sistemlerine kalıcı erişim sağladığını gösterdi.
Zamanlama, artan bölgesel gerilimler sırasında hem psikolojik hem de finansal etkiyi en üst düzeye çıkarmak için hesaplanmış gibi görünmektedir.
Grubun teknik karmaşıklığı, Nobitex’in telgraf hakkında tam kaynak kodunu yayınladıklarında, hassas dağıtım yapılandırmalarını, dahili gizlilik mekanizmalarını ve soğuk cüzdan yönetim sistemleriyle ilgili komut dosyalarını ortaya koyduklarında daha da belirginleşti.
.webp)
Tehdit aktörleri tarafından yayınlanan ve arka uç altyapısına ve veri merkezi kaynaklarına erişim gösteren Nobitex’ten iddia edilen IInternal Server yapılandırmaları.
Sızma metodolojisi muhtemelen ya önceki keşif veya olası içeriden işbirliği yoluyla elde edilen ayrıcalıklı erişim bilgilerinin kullanılmasını içermektedir.
Nobitex’in kamuya açık açıklamasına göre, yetkisiz erişim, altyapılarının sıcak cüzdanlar da dahil olmak üzere bir kısmını etkiledi, derhal hizmet askıya alınmasını ve tehlikeye atılan sunucuların ağ izolasyonunu istedi.
// Simplified representation of the targeted wallet structure
const invalidWallet = "1FuckiRGCTerroristsNoBiTExxxxxxxxxxxxx";
function transferFunds(sourceWallet, amount) {
// Irreversible transfer to politically-named burn address
return blockchain.transfer(sourceWallet, invalidWallet, amount);
}Bu olay, kripto para birimi altyapısının eyalet düzeyinde çatışmalarda yeni bir cephe haline geldiği siber özellikli jeopolitik çatışmada bir evrimi temsil etmektedir. Nobitex, iyileşme çabalarının 4-5 gün gerektireceğini tahmin ediyor ve saldırı sonrasında İran’daki ülke çapında internet kesintileri nedeniyle daha da karmaşıklaşıyor.
Siber güvenlik uzmanları, önümüzdeki haftalarda İran finans kurumlarına karşı, özellikle yaptırımların kaçırma veya IRGC finansman kanallarıyla bağlantıları olduğu iddia edilenler için ek grevler öngörüyorlar.
Are you from SOC/DFIR Teams! - Interact with malware in the sandbox and find related IOCs. - Request 14-day free tria