5 Günlük Bülten (13-17 Nisan 2026): Altı Ayrı Kampanya Bir Haftada
13-17 Nisan penceresinde honeypot altyapımız 6,55 milyon event topladı. Gürültü filtreli 258K gerçek analiz kümesinde 6 ayrı kampanya öne çıktı: 01ba4719 SSH dropper, mdrfckr mutasyonu, DoublePulsar coğrafi genişleme, VNC açık-auth dalgası, ConPot 14x sıçrama, Solana ekosistemi role-specific hedefleme. Bu bülten 5 günün konsolide özetidir — her konu için deep-dive link'leri içerir.
Yönetici Özeti
Son 5 gün geniş ve yoğun bir pencere oldu. P0f/Fatt pasif fingerprint gürültüsü (toplam ~1,26M event) hariç tutulduğunda altı ayrı tehdit kampanyasının aynı anda aktif olduğu görüldü. Bunlardan dördü geçen hafta yoktu veya marjinaldi — kampanya yenilenmesi bu pencerede belirgin.
Altı Kampanya — Link’lerle
1. 01ba4719 SSH Dropper: Yeni Dominant IOC
14 Nisan’da ortaya çıkan yeni SHA256. 5 günde 459 SFTP indirme — doğrudan Cowrie’ye yüklenen cloud VM ağırlıklı dağıtım. mdrfckr cleanup pattern’i ile birebir örtüşüyor → eski kampanyanın payload adı değişmiş gibi görünüyor.
2. Solana Ekosistemi: validator, solv, sollet, solr
11 Nisan Mirai mutasyonu olarak işaretlediğimiz kampanya role-specific evreye geçti. Generic sol/solana brute yerine şimdi staking validator’ları ve wallet CLI’ları hedefleniyor.
3. DoublePulsar TR Payı %10
21.802+ Suricata alert. Hindistan %57 ile dominant oldu, Türkiye ilk kez %10 pay aldı. TR ağlarında infekte Windows host havuzu olgunlaştı — TR Radar #3’ün devamı.
4. VNC Açık Authentication Dalgası
9 Nisan proxy/VNC kampanyasının ikinci dalgası. Baseline’da olmayan ET EXPLOIT VNC Server Not Requiring Authentication imzası 5 günde 2.642 alert üretti.
5. ConPot 14x ICS/SCADA Sıçrama
7 günlük baseline 21 event’ti, 5 günde 300 event = 14 kat. DigitalOcean çıkışlı iki IP tandem tarama — Shodan/Censys profili yok, araştırma dışı operatör imzası.
6. Uygulama-Spesifik Credential Trendi
claude (125 hit), frappe (133), odoo (157), steam (258), n8n (12), validator (54). Generic root/admin spraying’den uygulama-profil hedeflemeye dönüşüm.
Bonus: Redtail Cryptominer 5. Binary
130.12.180.51 staging server 15 Nisan 20:43 UTC’de beşinci hash’li binary yükledi (783adb7a...). Aktif geliştirme sinyali.
Hacim Tablosu
| Tarih | Toplam Event | Hive | IST Sensor | SAK Sensor |
|---|---|---|---|---|
| 13 Nis | 1.469.737 | 93.320 | 73.445 | 1.302.968* |
| 14 Nis | 2.700.235 | 79.719 | 397.086 | 2.223.430* |
| 15 Nis | 1.602.184 | 88.836 | 528.112 | 985.236* |
| 16 Nis | 578.018 | 112.342 | 368.228 | 97.443 |
| 17 Nis (07:54’e) | 195.262 | 39.020 | 124.871 | 31.365 |
| Toplam | 6.545.436 | 413.237 | 1.491.742 | 4.640.442 |
*SAK sensor push 6-16 Nis arası kopuktu; 13-15 Nis rakamları backlog toplu push’u içeriyor. Gerçek anlık hız IST sensor’dan ~500K/gün değerlendirilir.
Pot Hacim Tablosu (Gürültü Filtreli)
| Pot | 5G Event | Not |
|---|---|---|
| Suricata | 5.016.474 | 10K ES alert limit (gerçek 21K+ DoublePulsar) |
| Cowrie | 195.663 | 7G baseline’ın 5x üstü |
| Dionaea | 46.241 | SMB exploitation (DoublePulsar ilişkili) |
| Tanner | 5.197 | Web exploit, IoT RCE |
| Mailoney | 3.653 | SMTP relay keşfi |
| Sentrypeer | 2.940 | SIP toll fraud |
| Heralding | 2.770 | Multi-protocol credential |
| Glutton | 2.503 | Multi-protocol TCP, ICS portları |
| H0neytr4p | 1.430 | HTTPS web shell |
| ConPot | 300 | 14x artış (baseline 21) |
Coğrafi Dağılım (Top 10)
| # | Ülke | Event | Not |
|---|---|---|---|
| 1 | ABD | 1.956.579 | Reflection kurban ASN’leri |
| 2 | Almanya | 1.196.686 | Strato + Hetzner |
| 3 | Romanya | 419.407 | Voxility LLP |
| 4 | İngiltere | 379.529 | Hostinger UK |
| 5 | Arjantin | 233.438 | Dattatec shared hosting |
| 6 | Endonezya | 161.655 | Aktif saldırgan |
| 7 | Fransa | 130.859 | OVH karma |
| 8 | Çin | 125.925 | Gerçek saldırgan ağırlıklı |
| 9 | İsrail | 117.462 | Bezeq araştırma/scan |
| 10 | Pakistan | 83.029 | Koordineli SSH brute |
Devam Eden Kampanyalar (eski ama hâlâ aktif)
- MikroTik RouterOS API Bruteforce (Manticore): Port 8728’de 20.642 event, 45.205.1.5 ailesi hâlâ aktif
- AS7552 Viettel VN Koordineli SSH: 27.79.41.136 + 171.231.178.49 subnet’leri, 10.062 event
- Sentrypeer SIP Toll Fraud: 2.940 event, dominant IP değişti →
137.74.16.122+91.240.64.4 - SOSTREA IoT (5.175.223.249): C2 aynı, yeni Tanner kaynakları — Rusya/Belarus subnet’leri
Durmuş / Mutasyona Uğramış
mdrfckrkeyword’ü 5 gün boyunca 0 hit —01ba4719bu kampanyanın yeni payload adı olma ihtimali yüksek (cleanup pattern birebir)- Ethereum 30303 takibi kör nokta — Honeytrap NFQ sorunu çözülmedi, bu dönem veri yok
Yeni Cowrie Credential Anomalileri
Önceki uygulama-spesifik credential yazımızın kısa özeti:
claude— 125 hit (LLM servis hedeflemesi?)frappe— 133 hit (ERPNext)odoo— 157 hit (ERP)steam— 258 hit (consumer cihaz)345gs5662d34— password 979 kez denendi (baseline 204)
Veri Bütünlüğü Notları
- Hive: 5 gün stabil
- IST sensor: 5 gün stabil
- SAK sensor: 6-16 Nis push kopuk, 16 Nis 21:20’de onarıldı → rakam yer yer backlog toplu
- Honeytrap: 5 gün 0 event (NAT/NFQ sorunu) — Ethereum/K8s/RMI kör nokta
- Hive self-traffic FP: 17K+ Conficker imzası (kendi IP’sinden), suppress listesi gerek
OPSEC Metoloji
- Kendi altyapı IP’leri (188.125.168.128/29, 195.46.159.104/29) listeden hariç
- RFC1918 (10/8, 172.16/12, 192.168/16) + CGNAT (100.64/10) hariç
- BTK subnet (185.67.32.0/22) hariç
- Fatt + P0f pasif fingerprint gürültü filtrelendi
Sonraki Bülten
- Post-reboot verification + 7 günlük pencere (20-26 Nis)
- TR Radar #5: DoublePulsar TR destination IP detay listesi (USOM paylaşım formatı)
- Honeytrap NAT/NFQ onarım durumu
Tellal tehdit-istihbarat bülten serisi. Bu konsolide bülten 5 ayrı kampanya analizi + TR Radar + IOC update + credential trend yazılarımızın haftalık özetidir.