Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Darktrace, Saldırının Citrix NetScaler Ağ Geçidi Uzlaşmasıyla Başladığını Söyledi
Akşaya Asokan (asokan_akshaya) •
20 Ekim 2025
Yönetilen tehdit tespit firması Darktrace, genellikle Salt Typhoon olarak takip edilen Çinli siber casusluk korsanlarının küresel telekomünikasyon şirketlerine karşı kampanyalarını durdurmadığını söylüyor.
Ayrıca bakınız: İsteğe Bağlı | Kuzey Kore’nin Gizli Bilişim Ordusu ve Bununla Nasıl Mücadele Edilir?
Bunlardan ilki Pazartesi günü, Temmuz ayında bir Avrupa telekomünikasyonunu hackleyen Salt Typhoon göstergeleriyle tutarlı tehdit faaliyeti tespit ettiğini söyledi.
Bu yılın başlarında sızdırılan verilere dayanan analize göre, Earth Estries, GhostEmperor ve UNC2286 olarak da takip edilen Salt Typhoon, müşterileri birden fazla Çin devlet kurumunu içeren bir grup özel bilgisayar korsanlığı firması tarafından işletiliyor (bkz: Çin Veri Sızıntısı Tuz Tayfunu Müteahhitlerini Ortaya Çıkardı).
Grup, telekomünikasyon ve diğer dijital altyapıyı birincil hedef haline getirdi. Grup, Aralık 2024’te kamuoyunun bilgisine sunulan bir kampanyayla dokuz ABD telekomünikasyon tesisini hackledikten sonra kamuoyunun farkındalığına ulaştı. Beş Göz istihbarat ittifakını oluşturan İngilizce konuşan ülkelerden ve bir grup müttefikten Ağustos ayında yayınlanan bir tavsiye niteliğindeki bildiri, grubun dünya çapındaki hedefleri takip ettiği konusunda uyardı.
Tekrarlanan hedefler arasında Cisco anahtarlarının yanı sıra Ivanti ağ geçitleri ve tavsiye niteliğindeki Palo Alto Networks cihazlarının altında yatan işletim sistemi de yer alıyor.
Darktrace, Avrupa telekomünikasyon örneğinde, tehdit aktörünün muhtemelen Citrix NetScaler Ağ Geçidini kullanarak hacklemeye başladığını yazdı. Bilgisayar korsanları oradan müşterinin Makine Oluşturma Hizmetleri alt ağındaki Citrix Virtual Delivery Agent ana bilgisayarlarına yöneldi; MCS, sanal masaüstleri sunmaya yönelik bir Citrix bileşenidir.
Salt Typhoon’un bir diğer özelliği de hackleme amaçları için yerel araçlar kullanan karadan yaşama tekniklerini tercih etmesidir. Bu durumda, bilgisayar korsanları antivirüsün çalıştırılabilir dosyalarını yüklediler; bu da “saldırganın, yüklerini yürütmek için yasal bir antivirüs yazılımı aracılığıyla DLL tarafından yandan yüklemeye güvendiğini” gösteriyor.
Bilgisayar korsanları tarafından telekomünikasyon altyapısına yerleştirilen bir arka kapı, komut ve kontrol için HTTP üzerinden iletişim kuran sanal özel sunucular ve Darktrace’in tanımlanamayan TCP tabanlı kontrol dediği şeydi. “Bu çift kanallı kurulum, Salt Typhoon’un tespitten kaçınmak için bilinen standart dışı ve katmanlı protokolleri kullanması ile tutarlıdır.”
Darktrace, bilgisayar korsanlarının Citrix NetScaler Ağ Geçidine sızmak için kullandıkları güvenlik açığı hakkında ayrıntılı bilgi vermedi. Şirket, temmuz ayında, bilgisayar korsanlarının kullandığı ve CVE-2025-5777 ve CVE-2025-6543 olarak takip edilen iki kusur için yamalar yayınladı. Bu kusurlar NetScaler ADC ve NetScaler Gateway’i etkiledi; bu yazılımlar istismar edildiğinde bilgisayar korsanlarının çok faktörlü kimlik doğrulamayı atlamasına, kullanıcı oturumlarını ele geçirmesine ve yetkisiz erişim elde etmesine olanak sağladı (bkz.: Saldırganlar ‘Citrix Bleed 2’ Güvenlik Açığından Aktif Olarak Yararlanıyor).