Siber Güvenlik Uzmanı Onur Oktay: “TGR-STA-1030 adlı APT grubu Türkiye’yi aktif keşif faaliyetleriyle hedef aldı”

Siber Güvenlik Uzmanı Onur Oktay, son dönemin en gelişmiş tehdit aktörlerinden biri olarak gösterilen TGR-STA-1030 (UNC6619) adlı APT grubuna ilişkin dikkat çekici bilgiler paylaştı. Oktay, grubun son bir yıl içinde 37 ülkede en az 70 hükümet kuruluşu ve kritik altyapı tesisine sızmayı başardığını belirtti.

Stratejik Kurumlar Hedefte
Onur Oktay, grubun saldırı profilinin özellikle Savunma, Dışişleri, Maliye, Ticaret ve Enerji bakanlıkları üzerinde yoğunlaştığını ifade ederek, “Parlamentolar, emniyet teşkilatları, sınır kontrol birimleri ve ulusal telekomünikasyon şirketleri de hedef alınan yapılar arasında yer alıyor.” dedi.

Aktif Keşif ve Ülkeye Özel Saldırı Planları
Grubu diğer APT yapılanmalarından ayıran iki temel noktaya dikkat çeken Oktay, “Bu yapı sadece sızmakla yetinmiyor, ülkelerin kritik altyapılarına yönelik aktif keşif ve istihbarat toplama faaliyetleri yürütüyor.” ifadelerini kullandı. Oktay, her ülke ve sisteme özel saldırı senaryoları oluşturulmasının, kalıcı bir tespit mekanizması geliştirilmesini zorlaştırdığını vurguladı.

ShadowGuard Rootkit ve Yaygın Zafiyetler
Saldırılarda kullanılan yöntemlere de değinen Oktay, “Grup, daha önce belgelenmemiş ShadowGuard adlı bir Linux rootkit’i kullanarak sistemlerde uzun süre fark edilmeden kalabiliyor.” dedi. Microsoft Exchange, SAP ve Atlassian ürünlerindeki yamalanmamış veya keşfedilmemiş açıkların da sıkça istismar edildiğini kaydetti.

Çin Bağlantısı İddiası
Grubun faaliyet zamanlarının GMT+8 saat dilimi ile örtüştüğünü belirten Onur Oktay, “Bu durum, grubun Çin istihbaratı ile bağlantılı olabileceği yönündeki değerlendirmeleri güçlendiriyor.” şeklinde konuştu.

Türkiye De Hedefte
Türkiye’ye yönelik tehdit boyutuna ilişkin değerlendirmesinde Oktay, “Unit42 raporlarına göre grup, Kasım-Aralık 2025 döneminde Türkiye dahil birçok ülkenin hükümet altyapılarına yönelik aktif keşif faaliyetleri yürüttü.” ifadelerini kullandı. Türkiye’nin doğrudan sızma yapılan 37 ülke arasında ismen yer almadığını, ancak geniş kapsamlı tarama operasyonlarının menzilinde bulunduğunu söyledi.

Davranışsal Tespit Öne Çıkıyor
IOC bilgilerinin sınırlı olduğuna dikkat çeken Oktay, “Her saldırı farklı yöntemlerle gerçekleştirildiği için elde edilmiş kritik IOC setleri yok. Ancak ShadowGuard rootkit’inin davranışsal izleri üzerinden tespit çalışmaları yapılabiliyor.” dedi. Web shell olarak Behinder, Godzilla ve Neo-reGeorg varyantlarının kullanıldığını, C2 trafiğinde Cloudflare arkasına gizlenmiş alan adları ile popüler VPS servislerinin tercih edildiğini aktardı.

Exchange Sunucuları İçin Uyarı
Onur Oktay, “Türkiye dahil birçok ülkede Exchange sunucuları hedef alındı. Bu nedenle owa/auth dizinleri altında .aspx ve .ashx dosyalarının oluşturulması yakından incelenmeli.” uyarısında bulundu. Ayrıca sahte Googlebot gibi alışılmadık User-Agent değerlerinin C2 trafiğinde sıkça kullanıldığını belirtti.

Ajans Expres Gazetesi