ESET araştırmacıları, GopherWhisper adını verdikleri, daha önce kayıtlara geçmemiş, Çin ile bağlantılı bir APT grubu keşfettiler. Grup, çoğunlukla Go dilinde yazılmış ve enjektörler ile yükleyiciler kullanarak cephaneliğindeki çeşitli arka kapıları dağıtıp çalıştıran çok çeşitli araçlar kullanıyor. Gözlemlenen kampanyada, tehdit aktörleri Moğolistan’daki bir devlet kurumunu hedef aldı. GopherWhisper, komuta ve kontrol (C&C) iletişimi ve veri sızdırma amacıyla Discord, Slack, Microsoft 365 Outlook ve file.io gibi meşru hizmetleri kötüye kullanıyor.

ESET araştırmacıları  bu grubu Ocak 2025’te, Moğolistan’daki bir devlet kurumunun sisteminde daha önce belgelenmemiş bir arka kapı bulduğunda keşfetti  ve bu arka kapıya LaxGopher adını verdi. Daha derinlemesine araştırma yapan ekip, aynı grup tarafından dağıtılan, çoğunlukla çeşitli ek arka kapılar olmak üzere birkaç kötü amaçlı araç daha ortaya çıkardı. Bu araçların çoğu Go dilinde yazılmıştı ve ortak amaçları siber casusluktu.

ESET telemetrisine göre, GopherWhisper arka kapılarından etkilenen kurban bir Moğolistan devlet kurumu. Saldırganlar tarafından işletilen Discord ve Slack sunucularından gelen C&C trafiğini analiz eden ESET, Moğolistan kurumunun yanı sıra onlarca başka kurbanın da etkilendiğini tahmin ediyor; ancak bu kurbanların coğrafi konumları veya sektörleri hakkında herhangi bir bilgiye sahip değil. Keşfedilen yedi araçtan dördü arka kapı: Go dilinde yazılmış LaxGopher, RatGopher ve BoxOfFriends ile C++ dilinde yazılmış SSLORDoor. Ayrıca ESET, bir enjektör (JabGopher), Go tabanlı bir veri sızdırma aracı (CompactGopher) ve kötü amaçlı bir DLL dosyası (FriendDelivery) buldu.

ESET’in tespit ettiği kötü amaçlı yazılım grubu, bilinen hiçbir tehdit aktörünün araçlarıyla kod açısından benzerlik göstermediği ve başka hiçbir grubun kullandığı taktik, teknik ve prosedürler (TTP’ler) ile de örtüşmediğinden, ESET bu araçları yeni bir gruba atfediyor. Araştırmacılar, grubun araçlarının çoğunun maskotu bir gopher olan Go programlama dilinde yazılmış olması ve yan yükleme yoluyla yüklenen whisper.dll dosya adına dayanarak bu gruba GopherWhisper adını verdi.

Yeni tehdit grubunu keşfeden ESET araştırmacısı Eric Howard yaptığı açıklamada; “GopherWhisper, C&C iletişimi için Slack, Discord ve Outlook gibi meşru hizmetlerin yaygın olarak kullanılmasıyla karakterize edilir. Araştırmamız sırasında, binlerce Slack ve Discord mesajının yanı sıra Microsoft Outlook’tan birkaç taslak e-posta mesajını da elde etmeyi başardık. Bu, grubun iç işleyişi hakkında bize büyük bir fikir verdi. Slack ve Discord mesajlarının zaman damgası incelemesi, bunların çoğunun çalışma saatleri içinde, yani Çin Standart Saati ile uyumlu olarak sabah 8 ile akşam 5 arasında gönderildiğini gösterdi. Ayrıca Slack meta verilerinde yapılandırılmış kullanıcının yerel ayarı da bu saat dilimine ayarlanmıştı. Bu nedenle, GopherWhisper’ın Çin merkezli bir grup olduğuna inanıyoruz” dedi.

ESET’in bu araştırmasına göre, grubun Slack ve Discord sunucuları ilk olarak arka kapıların işlevselliğini test etmek, daha sonra ise günlükleri silinmeden, ele geçirilmiş birçok bilgisayarda LaxGopher ve RatGopher arka kapıları için komuta ve kontrol (C&C) sunucuları olarak kullanıldı. Slack ve Discord iletişimlerine ek olarak, ESET araştırmacıları, Microsoft Graph API’sini kullanarak BoxOfFriends arka kapısı ile C&C’si arasındaki iletişimde kullanılan e-posta mesajlarını da çıkarabildiler.

ESET Research’ten Eric Howard, bu bulguları Botconf 2026 konferansında sundu.

ESET yeni bir siber casusluk grubunu ortaya çıkardı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

ESET Research, Windows makinelerindeki ayarları ve izinleri yönetmek için genellikle Active Directory ile birlikte kullanılan bir mekanizma olan Grup İlkesini kötüye kullanarak kötü amaçlı yazılımları dağıtmak ve saldırıya uğramış ağda yatay olarak hareket etmek için yeni bir Çin bağlantılı APT grubu olan LongNosedGoblin’i keşfetti. Grup, Güneydoğu Asya ve Japonya’daki devlet kurumlarının ağlarına siber casusluk araçları dağıtmak için kullanılıyor. 

2024 yılında, ESET araştırmacıları Güneydoğu Asya’daki bir devlet kurumunun ağında daha önce belgelenmemiş bir kötü amaçlı yazılım fark etti. Grubun Eylül 2023’ten beri aktif durumda olduğu düşünülüyor. ESET, Eylül 2025 itibarıyla grubun bölgedeki faaliyetlerinin yeniden başladığını gözlemlemeye başladı. Grup, ele geçirilen ağda ve Komuta ve Kontrol (C&C) için bulut hizmetlerinde (ör. Microsoft OneDrive ve Google Drive) kötü amaçlı yazılım yayıyor. 

LongNosedGoblin’in cephaneliğinde birkaç araç bulunuyor. NosyHistorian, grubun Google Chrome, Microsoft Edge ve Mozilla Firefox’tan tarayıcı geçmişini toplamak için kullandığı bir C#/.NET uygulaması. Bu bilgiler, başka kötü amaçlı yazılımların nereye yerleştirileceğini belirlemek için kullanılıyor. NosyDoor, makine adı, kullanıcı adı, işletim sistemi sürümü ve mevcut işlemin adı dâhil olmak üzere kurbanın makinesiyle ilgili meta verileri toplar ve tümünü C&C’ye gönderir. Ardından C&C’den komutlar içeren görev dosyalarını alır ve ayrıştırır. Komutlar, dosyaları sızdırmasına, dosyaları silmesine ve kabuk komutlarını yürütmesine olanak tanır.

NosyStealer, Microsoft Edge ve Google Chrome’dan tarayıcı verilerini çalmak için kullanılır. NosyDownloader, bir dizi gizlenmiş komutu yürütür ve belleğe bir yük indirip çalıştırır. LongNosedGoblin tarafından kullanılan diğer araçların yanı sıra ESET, açık kaynaklı keylogger DuckSharp’ın değiştirilmiş bir versiyonu gibi görünen C#/.NET keylogger NosyLogger’ı da tespit etti. Grup tarafından kullanılan diğer araçlar arasında ters SOCKS5 proxy ve ses ve video yakalamak için muhtemelen FFmpeg gibi bir video kaydedici çalıştırmak için kullanılan bir argüman çalıştırıcı (argüman olarak geçirilen bir uygulamayı çalıştıran bir araç) bulunmaktadır. 

LongNosedGoblin’i Peter Strýček ile birlikte araştıran ESET araştırmacısı Anton Cherepanov  “Farklı teknikler kullanarak ve Yandex Disk bulut hizmetini C&C sunucusu olarak kullanan, bir AB ülkesindeki bir kuruluşu hedef alan başka bir NosyDoor varyantı örneği de tespit ettik. Bu NosyDoor varyantının kullanılması, kötü amaçlı yazılımın Çin ile bağlantılı birden fazla tehdit grubu arasında paylaşılabileceğini gösteriyor” açıklamasını yaptı.

ESET, Çin bağlantılı yeni bir tehdit grubunu ortaya çıkardı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Bu stratejik satın alma ile birlikte Bacacı Yatırım Holding, tüketiciyle doğrudan temas ettiği alanları güçlendirdi. Konuyla ilgili değerlendirmelerde bulunan Bacacı Yatırım Holding İcra Kurulu Başkan Yardımcısı Ayla Tanıl, “Bacacı Yatırım Holding olarak, ‘geleceğe değer katma’ misyonumuz doğrultusunda faaliyet alanlarımıza yenilerini ekleyerek büyüyoruz. 137 yıldır ileri teknolojiyle üstün kaliteli ürünler geliştiren Helvacızade Grubu’nu bünyemize katmaktan büyük mutluluk duyuyoruz. Satın alma süreci, yasal onayların alınması ve hisse devrinin yapılması ile tamamlandı. Bu adımla birlikte Zade Yağları ve Zade Vital markaları artık grubumuzun bir parçası oldu.” dedi. 

Zade markasıyla 85 ülkeye ihracat

Helvacızade Grubu’nun köklü geçmişi ve yüksek üretim standartlarıyla yalnızca Türkiye’nin değil, global pazarlarda da saygın bir konuma sahip olduğunu aktaran Tanıl, bu stratejik yatırım ile Bacacı Yatırım Holding’in üretim ve ihracat kaslarını daha da güçlendirdiklerini söyleyerek sözlerine şöyle devam etti: “Bu satın alma aynı zamanda Bacacı Yatırım Holding ile Helvacızade Grubu’nun vizyon, değerler ve insan odaklı yaklaşımlarının da buluşmasıdır. Bu birlikteliğin oluşturacağı sinerjinin getireceği güçle büyümeye devam edeceğiz.” 

1989 yılında temelleri atılan Zade markası, ayçiçek, zeytinyağı ve mısır yağı başta olmak üzere ürettiği yemeklik bitkisel sıvı yağlarla bugün 85 ülkeye ihracat gerçekleştiriyor. Konya’daki modern tesislerde üretilen ürünler, ileri teknoloji ve yüksek kalite standartlarıyla tüketicilerle buluşuyor. Zade Vital markası ise vitamin, mineral ve doğal besin destekleriyle sağlıklı yaşam alanında Türkiye’nin öncü markalarından biri olarak öne çıkıyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Bacacı Yatırım Holding, Helvacızade Grubu’nu satın aldı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Kaspersky, Tomiris’i ilk kez Eylül 2021’de Bağımsız Devletler Topluluğu’ndaki (BDT) bir devlet kuruluşuna yönelik DNS korsanlığı soruşturmasının ardından kamuoyuna açıklamıştı. Araştırmacılar o dönemde saldırının SolarWinds olayıyla kesin olmayan benzerliklere dikkat çekmişti. Araştırmacılar Tomiris’i 2021 ve 2023 yılları arasında birkaç yeni saldırı kampanyasında ayrı bir tehdit aktörü olarak izlemeye devam ettiler. Kaspersky telemetrisi, grubun araç setine ve Turla ile olası bağlantısına ışık tutmaya yardımcı oldu.

Nihai amacı gizli belgeleri çalmak olan tehdit aktörü, BDT’deki hükümete ait olan ve diplomatik kurumları hedef alıyor. Arada bir Orta Doğu veya Güneydoğu Asya gibi diğer bölgelerde de keşfedilen kurbanların BDT ülkelerinin yabancı temsilcilikleri olduğunun ortaya çıkması, Tomiris’in dar bir hedefe odaklandığını gösteriyor.

Tomiris çok çeşitli saldırı vektörleri kullanarak kurbanlarının peşine düşüyor. Kötü amaçlı içerik eklenmiş kimlik avı e-postaları (parola korumalı arşivler, kötü amaçlı belgeler, silahlandırılmış LNK’ler), DNS ele geçirme, güvenlik açıklarından yararlanma (özellikle ProxyLogon), şüpheli drive-by indirmeleri ve diğer yaratıcı yöntemler Tomiris’in bulaşmak için kullandığı teknikler arasında yer alıyor.

Tomiris araçları arasındaki ilişkiler. Oklar dağılım bağlantısını gösteriyor.

Ticari araç alışverişinde bulunan ayrı aktörler 

Tomiris’in son operasyonlarını özel kılan şey büyük ihtimalle daha önce Turla ile bağlantılı olan KopiLuwak ve TunnusSched zararlı yazılımlarını kullanmış olmaları. Ancak ortak araç setini paylaşmalarına rağmen, Kaspersky’nin son araştırması Turla ve Tomiris’in büyük olasılıkla ticari araç alışverişinde bulunan ayrı aktörler olduğunu gösteriyor.

Tomiris Rusça konuşmakla birlikte, hedefleri ve ticaret için kullandığı teknikler Turla için gözlemlenenlerle önemli ölçüde çelişiyor. Ayrıca Tomiris’in izinsiz girişlere dair genel yaklaşımı ve gizliliğe olan sınırlı ilgisi, daha önce belgelenmiş Turla ticaret teknikleriyle eşleşmiyor. Bununla birlikte Kaspersky araştırmacıları, ortak araç paylaşımının Tomiris ve Turla arasındaki iş birliğinin potansiyel bir kanıtı olduğuna inanıyor. Bu durum Tomiris’in KopiLuwak’ı ne zaman kullanmaya başladığına bağlı olarak, Turla ile bağlantılı olduğu düşünülen bir dizi kampanya ve aracın yeniden değerlendirilmesini gerektirebilir.

Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Pierre Delcher, şunları söylüyor: “Araştırmalarımız KopiLuwak veya TunnusSched kullanımının siber saldırıları Turla ile ilişkilendirmek için artık yeterli olmadığını gösteriyor. Bildiğimiz kadarıyla bu araç seti şu anda Turla’dan farklı olduğuna inandığımız Tomiris tarafından kullanılıyor. Ancak her iki aktör muhtemelen bir noktada işbirliğine gitti. Taktiklere ve kötü amaçlı yazılım örneklerine bakmanın bizi sadece bir yere kadar götürdüğünü ve tehdit aktörlerinin örgütsel ve siyasi kısıtlamalara tabi olduğunu sık sık hatırlatıyoruz. Bu araştırma, yalnızca istihbarat paylaşımı yoluyla üstesinden gelebileceğimiz teknik ilişkilendirmenin sınırlarını gösteriyor.” 

Tomiris APT grubu hakkındaki raporun tamamını Securelist’te bulabilirsiniz.

Kaspersky araştırmacıları, bilinen veya bilinmeyen bir tehdit aktörünün hedefli saldırısının kurbanı olmamak için aşağıdaki önlemlerin alınmasını öneriyor:

• SOC ekibinizin en son tehdit istihbaratına (TI) erişmesini sağlayın. Kaspersky Tehdit İstihbaratı Portalı, şirketin tehdit istihbaratının ortak erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir süredir toplanan siber saldırı verilerini ve içgörülerini sağlar.
• GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimi ile siber güvenlik ekibinizin yeteneklerini en son hedefli tehditlerle mücadele edecek şekilde geliştirin.
• Uç nokta düzeyinde tespit, araştırma ve olayların zamanında düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR çözümlerini kullanın.
• Temel uç nokta korumasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri ağ düzeyinde erken aşamada tespit eden kurumsal düzeyde bir güvenlik çözümüne başvurun.
• Birçok hedefli saldırı kimlik avıyla veya diğer sosyal mühendislik teknikleriyle başladığından, ekibinize güvenlik farkındalığı eğitimi verin ve pratik beceriler kazanmalarını sağlayın. Bunu Kaspersky Otomatik Güvenlik Farkındalığı Platformu aracılığıyla yapabilirsiniz.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Kaspersky, Bağımsız Devletler Topluluğu’ndaki devlet kurumlarını hedef alan Tomiris APT grubunu gözlem altına aldı yazısı ilk önce En Gazete üzerinde ortaya çıktı.