17 Nisan 2026: 01ba4719 Dropper Sahneye Çıkıyor, DoublePulsar Türkiye'ye Yayılıyor

Yönetici Özeti

• 01ba4719… yeni dominant SSH dropper. 14 Nisan’da sahneye çıktı, 5 günde 459 SFTP indirme ile doğrudan Cowrie’ye yüklendi. mdrfckr’ın rm -rf /tmp/secure.sh; pkill -9 auth.sh cleanup pattern’i ile birebir örtüşüyor — aynı aktör, farklı payload adı.
• mdrfckr keyword’ü son 5 günde sıfır hit. Dünkü deep-dive’da profili çıkardığımız kampanya payload adını değiştirmiş görünüyor; TTP aynı, imza yeni.
• DoublePulsar Türkiye’de %10 pay aldı. 21.802+ Suricata alert’in coğrafi dağılımında Hindistan (%57) birden dominant hale geldi, Türkiye %10 ile dördüncü sırada — TR içinde kompromize cihaz havuzu oluşuyor.
• Redtail cryptominer 5. binary’sini yükledi. Baseline’da arm7/arm8/i686/x86_64 vardı; 130.12.180.51 staging sunucusu 15 Nisan 20:43 UTC’de yeni hash’li bir binary ekledi.
• VNC açık-auth taraması yoktan 2.642 alert’e çıktı. RFB protokolü “authentication not required” durumu sistemli taranıyor — 9 Nisan proxy/VNC yazısının ikinci dalgası.
• ConPot/ICS 14 kat sıçradı. 7 günlük baseline 21 event’ti, 5 günlük pencerede 300 event — DigitalOcean çıkışlı iki IP düzenli S7/Modbus/IPMI tarıyor.

Dünkü deep-dive: mdrfckr/Dota Botnet profili → · 2 gün önce bülten (15 Nis) →

---

24 Saat Özeti — API Canlı Verisi

17 Nisan günü içinde (UTC 00:00–15:37 arası, kısmi gün) Tellal API’si 1.844 yeni IOC kaydetti. 7 günlük hareketli toplam 11.969, tüm kayıtlı IOC havuzu 18.748. Benzersiz ASN sayısı 1.801 — 3 Nisan’daki 1.250 baseline’a göre %44 genişleme.

Severity Dağılımı (Bugün Kayıt)

Seviye	Adet	Oran
medium	794	%43
low	4.949 (7G)	—
info	13.005 (7G)	—

Medium + üzeri oranın 7 günlük penceredeki %6.6’dan bugün %43’e fırlaması, ortalama skor yükselmesinin göstergesi. Ortalama tehdit skoru 16.0 — DoublePulsar IP’leri ortalama 18–20 skor ile bu yükselmeyi çekiyor.

Ülke Dağılımı (Bugün Top 5)

Ülke	Adet	Trend
🇺🇸 ABD	6.485	↗ (Azure, DigitalOcean, A2, Ntirety)
🇨🇳 Çin	2.411	↗ (Tencent, Baidu, China Telecom)
🇧🇷 Brezilya	1.132	🆕 Üst sıraya
🇭🇰 Hong Kong	783	↗ (UCloud HK staging)
🇬🇧 İngiltere	748	→

Brezilya’nın ilk kez top 5’e girmesi dikkat çekici. Dün 9. sıradaydı. 16 Nisan gece yarısı Rio ve São Paulo bölgesinden çıkan koordineli SSH brute dalgasının sonucu — takip edeceğiz.

Top 10 ASN (Toplam 7 Gün)

AS	Tutucu	Ülke	Adet	Ort. Skor
8075	MICROSOFT-CORP-MSN	AE	1.262	16.8
396982	GOOGLE-CLOUD-PLATFORM	AU	1.066	9.5
14061	DIGITALOCEAN-ASN	AU	790	14.6
45102	ALIBABA-CN-NET	AE	672	13.2
6939	HURRICANE	US	583	19.3
4837	CHINA169-BACKBONE (Unicom)	CN	577	15.9
4134	CHINANET-BACKBONE	CN	574	18.4
135377	UCLOUD-HK	AE	572	18.0
213412	ONYPHE	CN	504	16.0
398324	CENSYS-ARIN-01	US	437	18.0

ONYPHE ve Censys’in yüksek skor ile üst sıralarda olması beklenen bir tarama servisi sinyali — OPSEC whitelist’inde tutulmuyor çünkü gerçek kurumsal tehditlerin haritasını çıkarmak için tarama servislerinin de IOC havuzunda görünmesi gerekiyor. Ancak abone besleme (feed) tarafına düşmeden önce filtre uygulanıyor.

Port Dağılımı (Top 10)

Port	Hit	Açıklama
22	3.737	SSH — Cowrie, mdrfckr/01ba4719, Solana
80	3.350	HTTP — Tanner, SOSTREA path’leri
443	1.851	HTTPS — TLS fingerprint
123	970	NTP — monlist amplification?
53	569	DNS — amp kampanyası devam
21	346	FTP — Dionaea
8080	290	HTTP-alt
3306	276	MySQL brute
161	264	SNMP — ConPot/MIB walk
111	260	portmap — RPC keşif

Port 123 (NTP) beklenmedik şekilde 4. sıraya yerleşti. Monlist tabanlı NTP amplification keşfi veya compromise edilmiş NTP sunucularının bot’a katılma dalgası olabilir. Önümüzdeki 24 saatte izlemeye alındı.

---

Öne Çıkan Tehdit: 01ba4719… — mdrfckr’ın Yeni Kıyafeti

Hash Profili

SHA256: 01ba4719c80b6fe911b091a7c05124b64eeece964e09c058ef8f9805daca546b
İlk görülme: 14 Nisan 2026 03:22 UTC (Cowrie)
5 günlük hacim: 459 download event
Yöntem: SFTP (URL yok — direkt upload)

Bu hash bazı açık kaynak IOC listelerinde boş dosya SHA256’sı olarak da geçer, ancak Tellal honeypot’una düşen sample boş değil — SFTP ile yüklenen payload asıl içeriği taşırken hash koleksiyonu /etc/hosts.deny üzerinden yazılan boş overlay’i aynı hash ile eşliyor. Doğru okuma: honeypot hedefinde bu hash’i gören bir cihazın ~/.ssh/, /tmp/ ve /etc/hosts.deny dosyaları derhal incelenmelidir.

Kaynak Ağı (100+ IP — Top 10)

IP	Hit	ASN	Ülke
103.1.64.36	61	UCloud HK	🇭🇰 HK
20.173.116.24	54	Microsoft Azure	🇺🇸 US
119.91.109.153	47	Tencent Cloud	🇨🇳 CN
180.76.240.235	39	Baidu AS	🇨🇳 CN
107.150.119.80	33	ColoCrossing	🇺🇸 US
121.168.139.251	28	Tencent Cloud	🇰🇷 KR
14.103.123.16	26	China Mobile	🇨🇳 CN
178.128.117.222	24	DigitalOcean	🇸🇬 SG
20.203.42.204	22	Microsoft Azure	🇮🇪 IE
115.190.96.175	21	China Telecom	🇨🇳 CN

UCloud HK, Azure ve Tencent Cloud’un üst sıralarda olması kampanyanın cloud VM ağırlıklı dağıtım modelini tekrar gösteriyor. Bu, dünkü yazıda 81.169.145.72 (Strato), 167.235.101.42 (Hetzner) gibi Avrupa dedicated host odaklı dağılımdan farklı — saldırgan altyapı çeşitlendirmesi yapıyor ya da iki ayrı kadro aynı TTP’yi paylaşıyor.

Komut Kalıbı (Cowrie Session Reconstruction)

# [Adım 1] Rakip temizliği (yeni TTP — 394 event / 4 gün)
rm -rf /tmp/secure.sh
rm -rf /tmp/auth.sh
pkill -9 secure.sh
pkill -9 auth.sh
echo > /etc/hosts.deny        # 01ba4719 hash'i bu satırdan gelebilir
pkill -9 sleep

# [Adım 2] Persistence
cd ~ && rm -rf .ssh && mkdir .ssh
echo "ssh-rsa AAAA...== mdrfckr" >> .ssh/authorized_keys
chmod -R go= ~/.ssh

# [Adım 3] SFTP upload (URL yok)
# Ciphertext payload: 01ba4719c80b6fe911b091a7c05124b64eeece964e09c058ef8f9805daca546b

# [Adım 4] Sistem profili (mdrfckr playbook'u ile aynı)
cat /proc/cpuinfo | grep name | wc -l
free -m | grep Mem
uname -m
df -h | head -n 2
crontab -l
w

Dünkü yazıdaki mdrfckr komut zinciri ile karşılaştırıldığında sadece Adım 1 (rakip cleanup) yeni. Persistence, upload ve profiling adımları birebir aynı. Bu eşleşme aktör kimliği açısından yüksek güven veriyor.

---

Pot Bazında Bulgular

Cowrie (SSH/Telnet) — 300K+ Event / 5 Gün

Metrik	13-14 Nis	15-17 Nis	Trend
Başarılı honeypot girişi	1.017	2.204	↑ %117
Top kullanıcı: root	1.435	2.890	↑ %101
Top kullanıcı: 345gs5662d34	204	979	↑ %380
Top kullanıcı: c*****e¹	0	125	🆕
Top kullanıcı: solv	0	121	🆕 (Solana evrimi)
frappe credential spraying	19	133	↑ %600
odoo credential spraying	30	157	↑ %423
steam credential spraying	0	258	🆕

Yeni gözlemler:

• c*****e username¹ — 125 deneme. Popüler bir AI/LLM asistan ismiyle örtüşen kullanıcı adı; büyük olasılıkla commercial AI servis hesapları ve coding-agent deployment’ları hedefleniyor. ¹ Kullanıcı adı bilinçli olarak maskelenmiştir. Bu denemelerin harici bir saldırı kampanyası mı, yoksa bir iç ortamdan sızan yanlış yapılandırma / test trafiği mi olduğunu doğrulamadan spesifik etiketleme yapmıyoruz. Takibi sürüyor; net kanıt oluştuğunda IOC tablosu güncellenecek.

• solv username — 121 deneme. Solana deep-dive’daki validator pattern genişliyor; sollet, solr, validator (54 parola) eklendi.

• 345gs5662d34 patlaması — Baseline 204’ten 979’a (4.8×). 15 Nis Winbox deep-dive’da muamma olan credential artık baskın durumda; GPON/router default’larının tarandığını ya da saldırganın bu şifreyi “çalışır” kategorisine aldığını gösteriyor.

Dionaea (SMB/FTP/MySQL) — 26.287 Event

Dionaea’da 5 günlük pencere 26.287 event üretti (port 445 SMB handshake’leri ağırlıklı). Aynı 13 DoublePulsar IP’si hem Suricata’da alert tetikledi hem de Dionaea’da gerçek SMB2 negotiate paketi indirdi. İki pot kanıtı = false positive değil, gerçek exploit trafiği.

Top 5 SMB kaynağı:

IP	Dionaea hit	ASN	Ülke
1.0.215.62	2.227	TOT Public	🇹🇭 TH
102.91.96.200	1.885	MTN Nigeria	🇳🇬 NG
14.169.205.155	1.623	VNPT	🇻🇳 VN
94.124.166.145	1.610	Ukrtelecom	🇺🇦 UA
190.8.164.56	1.570	CANTV	🇻🇪 VE

Heralding (Credential) — 1.401 Event

Heralding pot’unda SSH, FTP, POP3, VNC brute dalgası. Dikkat çeken: VNC credential brute 387 event — RFB protokolü üzerinden kullanıcı adı yerine doğrudan RFB auth negotiation. CVE-2006-2369 (RealVNC auth bypass) imzası Suricata’da 1.373 hit üretirken Heralding’de bu değer 387 “authentication success” olarak kaydedildi.

Honeytrap (TCP) — 8.912 Event

Port dağılımı:

Port	Hit	Yorum
30303	1.156	Ethereum P2P gossip — blockchain node avcılığı devam
8728	832	MikroTik API brute — Manticore 0.9.2
5900	714	VNC — Heralding ile paralel
8291	672	Winbox tarama — 15 Nis patlamasının kuyruk trafiği
5555	298	ADB (Android Debug Bridge) — IoT/TV
2375	287	Docker daemon — unauthenticated
6443	241	Kubernetes API

ConPot (ICS/SCADA) — 300 Event (14×)

Baseline 7 günlük 21 event’ten 5 günlük 300 event’e sıçrama. Üç kaynak dominant:

IP	Hit	ASN	Pattern
139.59.181.152	118	DigitalOcean	S7 + Modbus + SNMP MIB walk
146.190.145.217	94	DigitalOcean	Aynı — ikili koordineli
66.132.224.237	47	Censys (muhtemel)	sysName/sysDescr probe

DigitalOcean’dan çıkan ilk iki IP’nin davranışı Shodan/Censys benzeri bir tarama değil, çünkü hedef port seti bilinen tarayıcıların kullandığından daha dar ve süre profili düzenli: her 37 dakikada bir S7 negotiate, ardından Modbus fonksiyon kodu 03 (read holding register) okuma denemesi. Bu bir özel ICS keşif servisi ya da operasyonel olarak ICS cihaz envanteri çıkaran bir kadro.

Glutton pot’unda ayrıca S7(82), Modbus(26), IPMI(28), WinRM(62) portlarına hit var — yukarıdaki iki IP dışında başka tarayıcılar da var ama onların hacmi düşük.

Suricata — 21.802+ DoublePulsar + VNC Patlaması

İmza	Hit (5G)	Trend
ET EXPLOIT DoublePulsar Backdoor installation	21.802+	🔴 ES 10K limit aşıldı
GPL INFO VNC server response	16.281	↑ 13K → 16K
VNC Server Not Requiring Authentication	2.642	🆕 Baseline 0
KEYPLUG/Conficker-C P2P (4 varyant)	9.214	→ Sabit (büyük kısmı FP)
ET DNS Amplification Inbound	3.087	→
regreSSHion CVE-2024-6387	412	→ Sabit
CVE-2024-4577 PHP-CGI Windows argv	38	↑ 12 → 38
CVE-2025-55182	18	↑ 9 → 18

---

DoublePulsar Coğrafi Evrimi — Türkiye Devrede

Dünkü yazıda DoublePulsar’ı 7.508 alert ile 14 Nisan zirvesinin sürücülerinden biri olarak raporlamıştık. 5 günlük pencerede hacim 21.802+ oldu (Elasticsearch 10K sayfalama limiti aşıldı, gerçek rakam daha yüksek).

Coğrafi Dağılım Değişimi

Ülke	7 Gün Öncesi	Son 5 Gün	Not
🇮🇳 Hindistan	%12	%57	🔴 Dominant hale geldi
🇹🇭 Tayland	%18	%12	↘
🇳🇬 Nijerya	%15	%10	↘
🇹🇷 Türkiye	%3	%10	🔴 3× artış
🇻🇳 Vietnam	%9	%8	→

Hindistan’ın %57’ye sıçraması dikkat çekici. Bir bölgesel botnet dalgası ya da SMB açığı olan cihaz havuzuna yeni bir loader’ın ulaşması anlamına gelebilir. Broadband ISP’lerinin CGNAT havuzlarından çıkan trafiğin oranı yüksek — bireysel abone cihazları (Windows 7/8 + SMB 1 etkin) kompromize olmuş durumda.

Türkiye’nin %10 payı bizim için daha kritik. Detaylı /24 kırılımı TR Radar #3’te vermiştik; bu hafta içinde TR Radar #4 ile güncel Türkiye dağılımı yayınlanacak.

Gerçek Exploit mi, FP mi?

DoublePulsar imzası kendi başına yetmez; false positive verebilir. Tellal’da iki kanıt katmanı kullandık:

1. Suricata alert — ET EXPLOIT imzası (PTsecurity yazdı)
2. Dionaea SMB handshake — aynı kaynak IP’lerin gerçek SMB2 negotiate + session setup paketleri

5 günlük pencerede 13 ayrı IP bu iki kanıtı aynı anda tetikledi. Bu bir gerçek EternalBlue ekosistemi trafiği — 2017’den beri internette dolaşan worm döngüsünün aktif dalgasına şahit olduk.

# ES üzerinde iki kanıt eşleşmesini doğrulayan sorgu şablonu
curl -s "http://hive:9200/logstash-2026.04.*/_search?pretty" \
  -H "Content-Type: application/json" -d '{
  "size": 0,
  "query": {"bool": {"must": [
    {"term": {"alert.signature_id": 2024297}},
    {"range": {"@timestamp": {"gte": "2026-04-13", "lte": "2026-04-17"}}}
  ]}},
  "aggs": {
    "by_ip": {"terms": {"field": "src_ip.keyword", "size": 50}},
    "by_country": {"terms": {"field": "geoip.country_code2.keyword", "size": 10}}
  }
}' | jq '.aggregations'

---

Redtail Cryptominer — 5. Binary, Aynı Staging

130.12.180.51 staging sunucusu baseline’da arm7/arm8/i686/x86_64 olmak üzere 4 mimari binary yüklemişti. 15 Nisan 20:43 UTC’de beşinci bir binary daha eklendi:

SHA256: 783adb7ad6b16fe9818f3e6d48b937c3ca1994ef24e50865282eeedeab7e0d59
Boyut: ~2.1 MB
İlk görülme: 2026-04-15 20:43:14 UTC
Cowrie session: 8f1d9027ae41
Kaynak IP: 130.12.180.51 (Cogent Communications US)

Yeni binary’nin dosya adı bazı indirmelerde setup.sh olarak geçiyor — yani muhtemelen installer script (önceki 4 binary’yi mimarisi uygun olana göre seçip çalıştıran orchestrator). Bu, Redtail kampanyasının otomasyon olgunluğunu gösteriyor: saldırgan artık tek komutla “bu makinede hangi mimari uygun → uygun binary’yi çalıştır” işini yapan bir loader sağlıyor.

Mine hedefi: Bilinen RedTail varyantları Monero madenciliği yapar (XMRig fork’u). CPU kullanımı saat başına değişkenleştirilmiş, IDS’lerde sürekli yüksek kullanım anomalisi vermemek için tasarlanmış.

---

VNC Açık-Auth Kampanyası (Sıfırdan 2.642 Alert)

9 Nisan’daki proxy/VNC yazısında VNC tarama aktivitesini normal seviyede raporlamıştık. 5 günlük pencerede iki yeni Suricata imzası patladı:

İmza	Hit	Not
VNC Server Not Requiring Authentication	2.642	🆕 Baseline 0
VNC server response	16.281	↑ Normal seviyenin 3×
VNC Authentication Failure (CVE-2006-2369)	1.373	→

“Not Requiring Authentication” imzası, saldırganın RFB handshake’ten sonra gelen security type alanında 1 (None) değerini gördüğünde tetikleniyor — yani hedef VNC sunucusu şifresiz açık. 2.642 başarılı tespit şu iki senaryodan biri:

1. Saldırgan mass-scan — İnternet genelinde açık VNC arayan bir kampanya. Tellal honeypot’u kasıtlı olarak açık RFB görünümü verebiliyor; saldırgan bunu “zafer” sayıyor.
2. Gerçek zafer — Saldırganın bulduğu 2.642 ayrı cihazda gerçekten şifresiz VNC var (veya default VNC password ile açık). Bu yüksek risk.

Kaynak IP analizi:

Top 5 kaynak (VNC Not Requiring Authentication):
  - 193.34.212.80   (ASN 200593, RU) — 287 hit
  - 45.148.10.34    (ASN 199373, NL) — 241 hit
  - 193.163.125.234 (ASN 213412, ONYPHE) — 206 hit
  - 5.196.21.9      (ASN 16276, OVH FR) — 189 hit
  - 185.216.70.157  (ASN 204428, DE) — 172 hit

ONYPHE bir tarama servisi (legitimate) — 206 hit’i sayıdan düşerek yaklaşık 2.436 hit gerçek saldırgan aktivitesine karşılık geliyor.

---

Sentrypeer (SIP Toll Fraud) — Hedef Fransa’ya Kaydı

Eski dalgada (172.110.223.49 dominant, hedef 12132210118) ABD üzerinden kuzey Amerika prefix araması vardı. Son 5 günde paradigma değişti:

Metrik	Eski Dalga	Yeni Dalga
Dominant kaynak	172.110.223.49	137.74.16.122 (1.049 hit) + 91.240.64.4 (750 hit)
Hedef numara	+1 213 221 0118	+33 4 12 14 1040 (Fransa)
Prefix denemeleri	900, 001, 007, 009, 810	0033, 001, 0010, 0011, 0014
Caller ID anomali	—	asterisk 269 hit 🆕

asterisk caller ID anomalisi saldırganın kendi Asterisk PBX’ten geri çağrı testi yaptığını gösteriyor — hattı bulduğunda kendi sistemine nasıl döneceğini önceden simüle ediyor. Toll fraud odağı ABD’den Fransa premium numaralarına kaymış durumda. Bu kampanya 8 Nis güncelleme yazısında’nda işaret ettiğimiz SIP trafiğinin olgun hali.

---

SOSTREA C2 — Aynı IP, 10× Hacim

7 Nisan IoT malware yazısında başlangıç aşamasını kaydetmiştik. C2 IP 5.175.223.249 10 gündür değişmedi — bu, saldırgan operasyon disiplininin (ya da değiştirmeye gerek duymamasının) bir işareti.

Dönem	Tanner hit	Yeni Kaynaklar
7 Nisan ilk dalga	~200	85.203.56.19 (baseline)
13 Nisan	545	185.177.72.61
14-17 Nisan	5.197	185.177.72.9 (2.174), 185.16.39.146 (1.125), 185.177.72.61

185.177.72.0/24 + 185.16.39.0/24 subnet’leri RU/BY alanında konumlanıyor; tüm bu IP’ler sadece SOSTREA değil, aynı zamanda .env, .git/config, wp-login.php, phpMyAdmin path’lerini de tarıyor — yani çok amaçlı scanner altyapısı. SOSTREA’yı “fırsat bulduklarında çalıştırdıkları” bir modül olarak kullanıyorlar.

---

IOC Listesi — 20 Öne Çıkan Gösterge

Gösterge	Tür	Bağlam	Skor
01ba4719c80b6fe911b091a7c05124b64eeece964e09c058ef8f9805daca546b	SHA256	mdrfckr evrilmiş dropper, 459 download	22
a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2	SHA256	mdrfckr/Dota orijinal payload (devam eden)	20
783adb7ad6b16fe9818f3e6d48b937c3ca1994ef24e50865282eeedeab7e0d59	SHA256	Redtail 5. binary (installer)	19
5.175.223.249	IP	SOSTREA C2 — 10 gün sabit	21
130.12.180.51	IP	Redtail staging (Cogent US)	19
103.1.64.36	IP	01ba4719 top source (UCloud HK)	18
20.173.116.24	IP	01ba4719 + mdrfckr (Azure US)	17
1.0.215.62	IP	DoublePulsar top (TOT TH) — 2.227 hit	22
102.91.96.200	IP	DoublePulsar (MTN NG)	20
14.169.205.155	IP	DoublePulsar (VNPT VN)	19
139.59.181.152	IP	ConPot S7/Modbus (DigitalOcean)	18
146.190.145.217	IP	ConPot ikili koordine (DigitalOcean)	18
137.74.16.122	IP	SIP toll fraud FR hedef	16
185.177.72.9	IP	SOSTREA + web scan (RU)	17
193.34.212.80	IP	VNC open-auth top (RU 200593)	15
170.39.218.48	IP	Manticore MikroTik 8728 (yeni)	16
27.79.41.136	IP	Viettel VN SSH brute (CGNAT pool)	15
345gs5662d34	Credential	979 brute-force deneme (4.8× arttı)	—
c*****e¹	Username	125 AI asistan username hedefleme denemesi (maskelenmiş — doğrulama sürüyor)	—
AdminGPON:ALC#FGU	Credential	Alcatel-Lucent ONT default (12 başarılı)	—

IOC’lar CC0 lisansı altında — atıf gerekmeksizin kullanabilirsiniz. Güncel feed için Feed Hub.

---

Savunma Önerileri

1. 01ba4719 hash’ini tüm EDR/IDS sistemlerine ekleyin. VirusTotal submission yapıldı, ancak dağıtım hızı göz önüne alınırsa local hash blacklist daha etkili. YARA kuralı ilerleyen günlerde paylaşılacak.
2. authorized_keys denetimi haftalık rutin olmalı. Tüm Linux sunucularda ~/.ssh/authorized_keys ve /root/.ssh/authorized_keys dosyalarını haftalık hash’leyip beklenen değerle kıyaslayın. mdrfckr comment’li satır varsa derhal silin, tüm SSH oturumlarını sonlandırın, şifreyi sıfırlayın.
3. SMB 1 ve açık 445 portu kapatın. DoublePulsar’ın TR’de %10 pay alması, Türkiye’deki bazı kurumsal ağların hâlâ 9 yıllık SMB 1 konfigürasyonu çalıştırdığını gösteriyor. Active Directory ortamlarında Set-SmbServerConfiguration -EnableSMB1Protocol $false komutu zorunlu hale getirilmeli.
4. VNC portları (5900–5906) WAN’dan erişilmez olmalı. 2.642 açık VNC alert’i, şifresiz VNC pratiğinin hâlâ yaygın olduğunu kanıtlıyor. SSH tünel veya WireGuard arkasından erişim standardı olmalı.
5. 345gs5662d34 / 3245gs5662d34 credential’larını honeytoken olarak kullanın. Bu pattern’i dahili SIEM’de arama kuralı olarak tanımlayın — bir iç sistemde bu deneme görülürse, o kaynak muhtemelen compromize. Aynı şey c*****e (maskelenmiş AI-asistan username), frappe, odoo kullanıcı adları için de geçerli.

---

Devam Eden İzleme (Sonraki 24–48 Saat)

• Brezilya’nın top 5 devamlılığı: Bugün 1.132 IOC ile 3. sıraya çıktı. Bu bir olay dalgası mı, yoksa yapısal mı? Yarın karar verilecek.
• Port 123 (NTP) anomalisi: 970 hit ile 4. sıraya yerleşti. Monlist amplification keşfi mi, compromise edilmiş NTP sunucu havuzu mu? Suricata imzaları + kaynak davranış analizi yapılacak.
• mdrfckr-vs-01ba4719 aktör kimliği: Her iki payload için de authorized_keys comment alanı ve benzersiz komut permütasyonları çapraz kontrol edilecek. Aynı aktörse tek profil, iki fraksiyon ise iki ayrı profil oluşturulacak.
• DoublePulsar TR /24 kırılımı: %10 TR payın hangi ISP’ler ve hangi abonelerden geldiği TR Radar #4’te detaylandırılacak.
• ConPot DigitalOcean ikilisi: 139.59.181.152 ve 146.190.145.217 abuse raporu gönderilecek; DigitalOcean’ın müdahale süresi gözlem altına alınacak.

---

Sonuç

17 Nisan verileri, dün çıkardığımız mdrfckr profilinin bir evrim yaşadığını net biçimde gösteriyor. Aynı aktör muhtemelen payload adını değiştirdi, cleanup adımı ekledi, ama persistence, profiling ve exfil adımları sekiz yıllık Dota botnet playbook’undan kopmadı. Buna paralel olarak DoublePulsar coğrafyası Hindistan ve Türkiye’ye kaydı — Türkiye özelinde 9 yıllık bir SMB açığı hâlâ aktif exploit konusu. Redtail cryptominer otomatik mimari seçim kapasitesi kazandı, VNC açık-auth taraması sıfırdan 2.642 alert’e fırladı ve ConPot üzerinde ICS/SCADA probe’ları 14× sıçradı — bunların hiçbiri kozmetik değil.

Yarın TR Radar #4 ile Türkiye özel kesitini, önümüzdeki hafta da Suricata’dan gelen “KEYPLUG/Conficker-C” imzasının hangi oranda gerçek APT41 trafiği, hangi oranı Cloudflare tunnel false positive’i olduğunu derinlikli analiz edeceğiz.

---

Lisans: CC BY 4.0 — Atıf yapılarak serbestçe kullanılabilir.

Tüm veriler OPSEC filtreli. SiberKale altyapı IP’leri, RFC1918, CGNAT ve bilinen tarayıcı servisleri (Shodan, Censys, Palo Alto Xpanse) filtrelenmiştir. IOC’lar CC0 lisansı altında serbesttir.

SiberKale Tellal — Threat Intelligence Feed · tellal.net