Tehdit Analizleri
Honeypot ağı gözlem raporları, kampanya analizleri, derin teknik incelemeler.
Bülten 18–22 Mayıs: TR Hosting Kaynaklı SSH/Web Scan Patlaması
5 günde 932.788 event. 21 Mayıs'ta 509K event ile dönem zirvesi görüldü: TR kaynaklı hosting ağları Suricata trafiğinin ana gövdesini oluşturdu. 22 Mayıs'ta Hong Kong kaynaklı tek aktör Cowrie'de öne çıktı. MySQL 3306 ve Mailoney SMTP dalgaları zayıflarken TBK DVR/SOSTREA operatörü düşük hacimde devam etti.
Bülten 10–17 Mayıs: MSSQL Sustu, MySQL Konuştu, Mdrfckr Daralıyor
8 günde 2.00M event. Geçen dönemin manşeti MSSQL mega-probe bu pencerede tamamen sustu (Dionaea 1.69M → 1.6K). Yerini Bulgaristan kaynaklı tek aktörün MySQL 3306 brute kampanyası aldı. Mailoney SMTP open-relay arayışı 8× büyüdü. Mdrfckr playbook unique IP havuzu yarıya indi ama `/etc/hosts.deny` temizleme TTP'si kökleşti. 13 Mayıs günü Endonezya kaynaklı tek IP gün boyu Cowrie trafiğinin %66'sını üretti. Conficker P2P UDP imzaları 18 yıl sonra hâlâ Top 1.
Bülten 1–8 Mayıs: MSSQL Mega-Probe, Cross-Platform IoT Avcısı ve VNC 28× Patlaması
8 günde 16.67M event. Dionaea MSSQL 5 Mayıs tek günde 676K hit ile rekor kırdı, Bulgaristan kaynaklı tek aktör Hikvision SOSTREA ile TBK DVR CVE-2024-3721'i çapraz hedefliyor, VNC tarama bir önceki dönemin 28 katı. Mdrfckr plateau'su daralıyor ama DoublePulsar yeniden ısındı.
24 Saatlik Bülten (29–30 Nis): mdrfckr Multi-Payload'a Evrildi, Fransa /28 Bloğu ve TR'den 18.9K Event
Son 24 saatte üç yeni gelişme: Outlaw playbook'u tek dosyadan 10 dosya/session'a geçti (mdrfckr + 9 yeni SHA256), 185.177.72.0/28 Fransa bloğu koordineli HTTP taraması yapıyor, Türkiye top 8'de 18.9K event'le ilk kez beliriyor. .env avcılığı 3.676 hit'e tırmandı.
mdrfckr Sönmüyor: 8 Günde 1.036 Yeni IP — Kampanya Plateau'da
14 Nisan zirvesinin ardından mdrfckr/Dota botnet bitmedi, kalıcılaştı. 22-29 Nisan arasında 8 günde 1.036 farklı IP authorized_keys denedi; Asya yoğun, ama Azure ve OVH bulutlarından da geliyor.
mdrfckr Verim Katsayısı %4.87 — Outlaw ve DoublePulsar Aynı Kampanya Değil
8 günde 79.769 SSH bağlantısı, 75.764 brute-force denemesi, 3.690 başarı (%4.87). Başarıların %55.9'u doğrudan mdrfckr playbook'una akıyor. Üstüne DoublePulsar IP'leriyle kesişim sıfır — iki ayrı altyapı.
DoublePulsar 4 Günde 4 Kat Arttı — EternalBlue 9 Yıl Sonra Hâlâ Canlı
Honeypot verimiz konuşuyor: 22-25 Nisan arasında DoublePulsar/EternalBlue taraması 4.432'den 16.241'e fırladı. MS17-010 yamalamayanlar için tehdit çok gerçek.
Ara Bülten (18–21 Nisan 2026): D-Link SSDP CVE Dalgası ve 19 Nisan Spike'ı
5 günlük bültenimizin ardından 18-21 Nisan penceresinde 1,62M event topladık. D-Link SSDP Command Injection (CVE-2025-10629, CVE-2026-3485) ilk kez imza bazında görüldü; 19 Nisan'da hacim 746K'a fırladı (2,3× baseline). DoublePulsar 47K+ alert ile iki katına çıktı, Brezilya ilk kez Top 3 coğrafi dağılıma girdi.
5 Günlük Bülten (13-17 Nisan 2026): Altı Ayrı Kampanya Bir Haftada
13-17 Nisan penceresinde honeypot altyapımız 6,55 milyon event topladı. Gürültü filtreli 258K gerçek analiz kümesinde 6 ayrı kampanya öne çıktı: 01ba4719 SSH dropper, mdrfckr mutasyonu, DoublePulsar coğrafi genişleme, VNC açık-auth dalgası, ConPot 14x sıçrama, Solana ekosistemi role-specific hedefleme. Bu bülten 5 günün konsolide özetidir — her konu için deep-dive link'leri içerir.
ConPot 14 Kat Patladı: ICS/SCADA Taramada Yeni Dalga
7 günlük baseline'da 21 event'e sahip olan ConPot pot'umuz, 13-17 Nisan 5 günlük pencerede 300 event topladı — 14 kat artış. DigitalOcean çıkışlı iki IP (139.59.181.152, 146.190.145.217) düzenli Siemens S7, Modbus, IPMI ve WinRM taraması yapıyor. Censys/Shodan profili yok — araştırma dışı operatör imzası.
Redtail Cryptominer 5. Binary: `783adb7a` Eklendi, Staging Server Aktif
7 Nisan'dan beri izlediğimiz Redtail cryptominer kampanyası 14-15 Nisan'da dördüncüden beşinci mimari binary'sine geçti. `130.12.180.51` staging server'ı 15 Nisan 20:43 UTC'de yeni hash'li `783adb7ad6b16fe9...` binary'sini yükledi. Dört mimari baseline (arm7/arm8/i686/x86_64) artık beş binary'ye çıktı — aktif geliştirme sinyali.
Saldırganlar Artık Uygulama-Spesifik: `claude`, `odoo`, `frappe`, `n8n` Cowrie Listesinde
13-17 Nisan 5 günlük Cowrie penceresinde 10+ uygulama-spesifik kullanıcı adı SSH brute-force listesinde ortaya çıktı. `claude` (125 hit) AI servisleri, `frappe` (133) ERPNext, `steam` (258) gaming, `odoo` (157) ERP, `n8n` (12) workflow. Generic `root`/`admin` taramasından uygulama-profil hedeflemeye dönüşüm.
Solana Ekosistemi Hedeflemesi Evrimleşiyor: `validator`, `solv`, `sollet` Credential'ları Devrede
11 Nisan'da Mirai mutasyonu olarak işaretlediğimiz 'Solana avcıları' kampanyası 13-17 Nisan penceresinde evre atladı: Generic `sol/solana` brute-force'tan ekosistem-spesifik credential hedeflemeye. `validator` (54 deneme), `solv` (121), `sollet` (4), `solr` (4) — staking node operatörleri ve wallet yazılımları artık doğrudan nişanda.
TR Radar #4: DoublePulsar TR Payı Aslında Tek IP — `176.237.194.250` 5 Günde 1.432 Event
ES sorgusu beklenmedik sonuç verdi. Türkiye'den çıkan 1.482 DoublePulsar alert'in %96'sı (1.432) tek bir IP'den: `176.237.194.250` (AS16135 Turkcell). Geriye kalan %4, iki IP üzerinden (78.186.117.164 TT + 91.93.183.92 Tellcom). TR compromise havuzu henüz olgunlaşmamış — ama bir Turkcell customer Windows host 5 gündür global SMB exploit dağıtıyor.
17 Nisan 2026: 01ba4719 Dropper Sahneye Çıkıyor, DoublePulsar Türkiye'ye Yayılıyor
5 günlük pencerede (13-17 Nisan) mdrfckr kampanyası yeni bir hash'e evrildi, Redtail cryptominer beşinci mimari binary'sini yükledi, VNC açık-auth kampanyası sıfırdan 2.642 alert'e çıktı ve DoublePulsar coğrafyası Hindistan (%57) + Türkiye (%10) ağırlıklı bir havuza döndü. 01ba4719 SFTP dropper, 459 indirme ile yeni dominant IOC.
14 Nisan Zirvesi: mdrfckr/Dota Botnet Kampanyası
14 Nisan'da 2.7M event rekoru: mdrfckr imzalı SSH backdoor, DoublePulsar patlaması ve 2017'den beri aktif Dota botnetinin playbook'u.
Bülten 15 Nisan: Yeni Zirve, Winbox ve 345gs
52 saatte 5.14M event, 14 Nisan rekoru 2.7M; Winbox taraması 57×, Cowrie 1.017 başarılı giriş, CVE-2025-55182 ilk kez, 345gs kampanyası.
TR Radar #3: DoublePulsar ve 185.67.33.0/24 Bloğu
52 saatte TR kaynaklı 18.492 olay, 1.482 DoublePulsar. BTK tahsisli 185.67.33.0/24 bloğundan 7 IP koordineli; infekte Windows host tabanı.
Winbox 57x Patlaması, 345gs Muamması ve GPON Avcıları
MikroTik Winbox port 8291 taraması 15 hitten 858'e fırladı; SSH honeypot'ta `345gs5662d34` 1.200 kez, GPON default ile 12 başarılı giriş.
Honeypot'u Bilen Saldırgan, MikroTik İkili Kuşatması ve ERP Altyapısı İzleri
Cowrie SSH honeypot'umuza giren bir saldırgan T-Pot altyapısını keşfetmeye çalıştı — Elasticsearch şifresi ve Docker container listesi sorgulandı. Aynı dönemde MikroTik API (8728) ve Winbox (8291) eş zamanlı hedeflendi; Frappe ERP ve IPMI firmware yönetimi kurumsal altyapı trendine işaret ediyor. regreSSHion (CVE-2024-6387) uyarıları devam ediyor.
Solana Avcıları, Mirai Mutasyonu ve Proxy Patlaması — 10–11 Nisan Sahadan Notlar
DNS fırtınası yatışırken yeni cepheler açıldı. Solana validator'larını hedefleyen credential kampanyası genişliyor, sin.sh Mirai varyantı 15 farklı yöntemle yayılıyor, port 3128 ve 139'da anomali spike tespit edildi. 7.85 milyon event, 21.917 benzersiz saldırgan.
DNS Amplification Fırtınası — Port 53'e 3.9 Milyon Saldırı
Honeypot ağımızda 5 günde 3.9 milyon DNS amplification probe tespit edildi. Toplam trafiğin %82'si tek bir porta yoğunlaşıyor. GoDaddy, Vietnam ve İngiliz VPS altyapısı kaynaklı devasa reflektör avcılığı kampanyası.
Proxy Avcıları ve VNC Kampanyası — Gizlenme Altyapısı İnşa Ediliyor
193 bin SOCKS proxy taraması ve 79 bin VNC brute force denemesi. Saldırganlar gizlenme altyapısı ve uzak erişim noktaları arıyor. Honeypot verilerinden kampanya analizi.
Honeypot'a Düşen IoT Malware — TBK DVR Exploit ve Mirai Botnet
Web honeypot'umuza gelen bir HTTP isteği, TBK marka DVR cihazlarını hedef alan command injection saldırısını ve Mirai botnet varyantını ortaya çıkardı. Teknik analiz ve korunma yöntemleri.
MikroTik API Brute-Force — 891 Deneme, Tek Kampanya
Glutton honeypot'umuz 24 saatte 891 MikroTik API (port 8728) brute-force denemesi yakaladı. Saldırı tekniği, IoC'ler ve MikroTik güvenlik sertleştirme rehberi.
Eşleşen yayın yok.