Tehdit istihbaratı araştırmacıları, siber suçluların yetkili sızma test uzmanları için tasarlanmış meşru bir açık kaynaklı Komuta ve Kontrol çerçevesi olan AdaptixC2’yi silah haline getirdiği büyüyen bir kampanyayı ortaya çıkardı.
Keşif, tehdit aktörlerinin karmaşık siber saldırılar gerçekleştirmek için etik hackleme araçlarından nasıl yararlandığını ve çerçevenin gelişimini Rus suç ağlarına bağlayan önemli bağları ortaya koyuyor.
Silent Push tehdit analistleri ilk olarak Ağustos 2025’te CountLoader kötü amaçlı yazılım yükleyicisini araştırırken AdaptixC2’nin kötüye kullanıldığını gözlemledi.
Kötü amaçlı yükler, CountLoader’ı kullanan saldırgan altyapısı aracılığıyla sunuluyordu; bu, bu araçların koordineli saldırılarda birleştirilmesi yönünde kasıtlı bir tercihin olduğunu gösteriyordu.
Araştırma ekibinin AdaptixC2 için algılama imzalarını dağıtmasından kısa bir süre sonra, kamuya açık raporlar çerçevenin küresel fidye yazılımı kampanyalarında, özellikle de Akira fidye yazılımı bağlı kuruluşları tarafından kullanımında bir artış olduğunu doğruladı.
AdaptixC2, başlangıçta kırmızı ekipler ve penetrasyon testçileri için tasarlanmış, genişletilebilir bir kullanım sonrası çerçevedir.
Mimarisi esnek bir Golang tabanlı sunucu ve bir C++ GUI içerir istemci Linux, Windows ve macOS sistemleriyle uyumludur.
Çerçevenin GitHub’da yasal olarak bulunması onu siber güvenlik uzmanları için çekici bir seçenek haline getirdi, ancak tehdit aktörleri bunun kötü amaçlı amaçlara yönelik potansiyelini hızla fark etti.
DFIR Raporu, AdaptixC2’nin Akira fidye yazılımı ortakları tarafından kullanıldığını belgeleyerek aracın etik kullanımdan suç amaçlı istismara ne kadar hızlı geçiş yaptığını ortaya koydu.
Açık Kaynak İstihbarat (OSINT) sitesi intelx.io aracılığıyla elde edilen bilgilerden, bu e-posta adresinin aynı zamanda bilinen bir bilgisayar korsanlığı forumuna ait sızdırılmış bir veritabanında da listelendiğini doğruladık.
Akira fidye yazılımı tek başına Mart 2023’ten bu yana dünya çapında 250’den fazla kuruluşu etkileyerek Kuzey Amerika, Avrupa ve Avustralya’daki işletmeleri ve kritik altyapı sağlayıcılarını etkiledi ve tahmini fidye yazılımı gelirlerinin 42 milyon ABD dolarını aştığı görüldü.
Tehdit araştırmacıları, AdaptixC2’nin birincil gelişiminin izini, kendisini GitHub profilinde bir penetrasyon test cihazı, kırmızı takım operatörü ve kötü amaçlı yazılım geliştiricisi olarak sunan “RalfHacker” tanıtıcısını kullanan bir kişiye kadar takip etti.
Bu rollerin birleşimi, çerçevenin suç amaçlı istismarını araştıran güvenlik analistleri için acil tehlike işaretlerine yol açtı.
Daha ileri araştırmalar, bu e-posta adreslerinin bilinen bilgisayar korsanlığı forumlarından sızdırılan veritabanlarında göründüğünü ortaya çıkardı; bu da yeraltı suç dünyası ile tipik meşru geliştiricilerin sürdürdüğü bağlardan daha derin bağları akla getiriyor.
Araştırma, araştırmacıları RalfHacker adını taşıyan büyük bir Telegram kanalına yönlendirdi; burada geliştirici, AdaptixC2 güncellemelerini Active Directory, APT ve ATM materyalleriyle ilgili hashtag’lerle yalnızca Rusça olarak duyurdu.
Bu iletişim modeli, paralel CountLoader araştırması sırasında toplanan istihbaratla uyumlu olup, Rusya’nın siber suç ekosistemi içindeki bağlantılara işaret etmektedir.
AdaptixC2’nin silah haline getirilmesi, savunmacılar için kritik bir zorluğun altını çiziyor: Meşru araçları kullanırken yetkili sızma testleri ile suç faaliyetleri arasında ayrım yapmak. Evilginx2 gibi diğer kırmızı takım çerçeveleri de meşru kullanım durumlarını sürdürürken benzer şekilde yaygın suç teşkil eden benimsemelerden muzdariptir.
Tehdit aktörleri, diğer suçlularla iletişim kurarken faaliyetlerini sıklıkla etik hackleme kisvesi altında maskeleyerek geliştiricilerin makul inkar edilebilirliği sürdürmelerine olanak tanır. Kırmızı takım niteliklerinin yanı sıra “maldev” kimlik bilgilerinin küstahça reklamını yapan RalfHacker’ın profili, bu gizleme taktiğini gösteriyor.
Devam Eden Tehdit Değerlendirmesi
RalfHacker’ı kişisel olarak belirli suç operasyonlarıyla ilişkilendiren doğrudan kanıtlar kesin sonuçlar için yetersiz kalsa da, ikinci dereceden kanıtlar ciddi endişeyi hak ediyor.
Çerçevenin onaylanmış fidye yazılımı operatörleri tarafından aktif kullanımı, RalfHacker’ın Telegram pazarlaması yoluyla Rus suç ağlarıyla görünürdeki bağlantıları ve aracın düzenli bakımı ve güncellemeleri, geliştirici ile kötü niyetli aktörler arasında önemsiz olmayan bağların olduğunu gösteriyor.
Çerçeve dünya çapındaki kuruluşlara yönelik karmaşık saldırıları kolaylaştırmaya devam ettiğinden, güvenlik ekiplerine AdaptixC2 altyapısını dikkatli bir şekilde izlemeleri tavsiye ediliyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.