Haziran 2025’te İsrail ve İran arasındaki 12 günlük çatışma sırasında, İran bağlantılı siber tehdit aktörlerinin sofistike bir ağı, dünya çapında kritik altyapı sektörlerine karşı koordineli dijital operasyonlar başlattı.
Kampanya, askeri operasyonlar ve devlet destekli siber saldırılar arasında eşi görülmemiş bir koordinasyon gösterdi, finansal kurumları, devlet kurumlarını ve medya kuruluşlarını birden fazla ülkede hedef aldı.
Siber saldırı, İran’ın İslam Devrim Muhafız Kolordusu’na (IRGC) doğrudan bağları olan devlet destekli gruplardan, değişen derecelerde otonomi ile çalışan ideolojik olarak uyumlu hacktivist kolektiflere kadar karmaşık bir hacker ekosistemini içeriyordu.
Bu tehdit aktörleri, kötü amaçlı kimlik avı kampanyaları, dağıtılmış hizmet reddi (DDOS) saldırıları, SQL enjeksiyon istismarları ve hassas verileri çalmak ve kritik operasyonları bozmak için tasarlanmış sofistike sosyal mühendislik teknikleri gibi çeşitli saldırı vektörleri kullandılar.
Güvenlik Saklığı araştırmacıları, kampanyaya katılan 178’den fazla aktif hacker grubunu belirleyerek İran vekilleri ve hacktivist kanallardan 250.000’den fazla mesajı analiz etti.
Analiz, İmparatorluk Yavru Kedi (Tortoishell, Cuboid Sandstorm ve Sarı Liderc olarak da bilinir) dahil olmak üzere birçok kilit grubun, taktiklerini İran’ın askeri hedefleriyle uyumlu hale getirmek için hızla uyarladığını ve siber ve kinetik operasyonlar arasında önceden planlanmış koordinasyonu önerdiğini ortaya koydu.
Gelişmiş kimlik avı altyapısı ve taktiksel evrim
Bu kampanyanın en ilgili yönü, yerleşik tehdit aktörlerinin çatışmadan yararlanmak için operasyonel prosedürlerini değiştirme hızıydı.
Sosyal mühendislik yetenekleri ile kötü şöhretli iyi belgelenmiş İranlı devlet bağlantılı bir grup olan Imperial Kitten, askeri tırmanış başlangıcından itibaren çatışma temalı kimlik avı yemini kullandı.
Grubun kimlik avı altyapısı, mağdur katılım oranlarını artırmak için devam eden hava saldırılarına ve insani krizlere atıfta bulunan konu çizgilerini kullanarak güncel olayları ve duygusal manipülasyon taktiklerini içeriyordu.
Kimlik avı e -postaları, hedef ağlara kalıcı erişim sağlamak için tasarlanmış kötü niyetli ekler içeriyordu ve savaş zamanı siber güvenlik duruşlarına özgü yükseltilmiş uyarı dönemlerinde tespit etmek için özel olarak hazırlanmış yükler.
Bu taktik evrim, devlet destekli aktörlerin daha geniş stratejik hedefleri desteklemek için teknik yeteneklerini nasıl hızla değiştirebileceğini ve geleneksel tehdit algılama metodolojileri için önemli zorluklar yaratabileceğini göstermektedir.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın