Shadow Campaigns Casusluk Operasyonu 155 Ülkeyi Hedef Aldı

Güvenlik araştırmacıları, devlet destekli olduğu değerlendirilen bir grubun küresel ölçekte kapsamlı bir siber casusluk kampanyası yürüttüğünü açıkladı. Shadow Campaigns casusluk operasyonu adı verilen bu faaliyet, en az 37 ülkede 70’in üzerinde kamu kuruluşu ve kritik altyapı işletmesini doğrudan etkiledi. Araştırmacılar, TGR-STA-1030 grubu olarak tanımladıkları yapının 155 ülkedeki devlet kurumlarını keşif amaçlı taradığını belgelerle ortaya koydu.

Kamu Kurumlarına Yönelik Siber Saldırılar Stratejik Zamanlamayla Gerçekleştirildi

Unit 42 analizleri, saldırıların belirli siyasi ve jeopolitik gelişmelerle uyumlu bir zamanlamaya sahip olduğunu ortaya çıkardı. Shadow Campaigns casusluk operasyonu kapsamında hareket eden saldırgan grup, önemli seçimler ve diplomatik kriz dönemlerinde hedef ülkelerdeki faaliyetlerini yoğunlaştırdı. Honduras’taki ulusal seçimlerden sadece bir ay önce, ülkenin devlet altyapısını barındıran yüzlerce IP adresine yönelik yoğun tarama faaliyeti gözlemlendi. Ekim 2025’te yaşanan ABD hükümeti kapanması sırasında da Amerika kıtasındaki çok sayıda devlet kurumuna yönelik taramalarda belirgin bir artış kaydedildi.

Hedef ülkeler (üstte) ve teyit edilen uzlaşmalar (altta)

Küresel siber casusluk faaliyetleri kapsamında ele geçirilen kurumlar arasında Brezilya Maden ve Enerji Bakanlığı, Meksika’nın iki farklı bakanlığı, Avustralya Hazine Departmanı ve Panama’daki devlet altyapıları bulunuyor. Avrupa’da ise Kıbrıs, Çekya, Almanya ve İtalya gibi ülkelerin çeşitli devlet kurumları bu devlet destekli siber saldırılar ağına dahil edildi. Asya ve Afrika’daki hedefler arasında Endonezya’daki bir havayolu şirketi, Tayvan’daki kritik bir enerji tedarikçisi ve Demokratik Kongo Cumhuriyeti ile Nijerya’daki altyapı işletmeleri yer aldı.

Saldırı zinciri, son derece hedefe yönelik yöntemlerle başlatıldı. Saldırganlar, devlet yetkililerine bakanlık içi yeniden yapılanma çalışmalarını referans alan kişiselleştirilmiş oltalama e-postaları gönderdi. Bu e-postalarda bulunan bağlantılar, Mega.nz gibi meşru bulut depolama hizmetlerinde barındırılan kötü amaçlı arşiv dosyalarına yönlendiriyordu. Arşivlerin içinde Diaoyu adlı bir yükleyici ve dosya tabanlı bir bütünlük kontrolü görevi gören sıfır baytlık bir PNG dosyası bulunuyordu.

Gölge Kampanyaları operasyonlarında kullanılan kimlik avı e-postasının örneği

Yükleyici, belirli çevresel kontrolleri geçtikten sonra Cobalt Strike gibi gelişmiş istismar araçlarını sisteme sızdırıyordu. Saldırganlar ayrıca, bilinen en az 15 güvenlik açığından yararlanarak sistemlere ilk erişimi sağladı. SAP Solution Manager, Microsoft Exchange Server ve D-Link cihazlarındaki zafiyetler, bu kamu kurumlarına yönelik siber saldırılar için kullanılan başlıca giriş vektörleri arasında yer aldı. Uluslararası siber tehdit raporları, bu tür hibrit saldırı yöntemlerinin tespit edilmesinin oldukça güç olduğunu ortaya koyuyor.

Operasyonun en dikkat çekici teknik unsurlarından biri, TGR-STA-1030 grubu tarafından kullanıldığı tespit edilen özel bir Linux rootkit oldu. ShadowGuard adı verilen bu kötü amaçlı yazılım, gelişmiş eBPF teknolojisini kullanarak çekirdek seviyesinde faaliyet gösteriyor. Rootkit, sistem çağrılarını keserek kötü amaçlı süreç bilgilerini gizleyebiliyor ve standart sistem izleme araçlarının tespitinden kaçabiliyor.

Bu araç, saldırganlara uzun süreli ve gizli erişim sağlarken, güvenlik ekiplerinin sistemde anormal bir durum olduğunu fark etmesini son derece zorlaştırıyor. ShadowGuard’ın varlığı, saldırganların operasyonel gizliliğe ve kalıcılığa verdiği önemi açıkça ortaya koyuyor ve uluslararası siber tehdit raporları için yeni bir veri noktası oluşturuyor. Küresel çapta büyük bir risk oluşturan Shadow Campaigns casusluk operasyonu, dijital casusluğun günümüzde ulaştığı teknik derinliği bir kez daha kanıtlıyor.

Unit 42 tarafından yayımlanan kapsamlı rapor, operasyonun hâlâ aktif olduğunu ve küresel siber güvenlik manzarası için ciddi bir tehdit oluşturduğunu gösteriyor. Saldırganların kullandığı altyapı, ABD, Singapur ve İngiltere’deki meşru barındırma sağlayıcılarına dağıtılmış durumda ve trafiği gizlemek için çok katmanlı bir proxy ağı kullanılıyor. Güvenlik uzmanları, bu tür devlet destekli siber saldırılar için artan bir trend olmaya devam edeceği konusunda uyarıda bulunuyor. Shadow Campaigns casusluk operasyonu, dijital casusluğun ulaştığı yeni boyutu ve uluslararası ilişkilerdeki siber gerçekliği bir kez daha gözler önüne serdi.