← Tüm Yazılar
HAFTALIK BÜLTENMEDIUM20 Nisan 2026 · 3 dk okuma

5 Günlük Bülten (13-17 Nisan 2026): Altı Ayrı Kampanya Bir Haftada

13-17 Nisan penceresinde honeypot altyapımız 6,55 milyon event topladı. Gürültü filtreli 258K gerçek analiz kümesinde 6 ayrı kampanya öne çıktı: 01ba4719 SSH dropper, mdrfckr mutasyonu, DoublePulsar coğrafi genişleme, VNC açık-auth dalgası, ConPot 14x sıçrama, Solana ekosistemi role-specific hedefleme. Bu bülten 5 günün konsolide özetidir — her konu için deep-dive link'leri içerir.

Analiz: Erdem Özyurt · SiberKale Tellal

İçindekiler 17
📅Veri dönemi: 13–17 Nisan 2026 · OPSEC-filtreli · 5 günlük pencere · konsolide özet

Yönetici Özeti

6.545.436Toplam event
258KGürültü filtreli (gerçek)
6Aktif kampanya
1.693Cowrie başarılı login

Son 5 gün geniş ve yoğun bir pencere oldu. P0f/Fatt pasif fingerprint gürültüsü (toplam ~1,26M event) hariç tutulduğunda altı ayrı tehdit kampanyasının aynı anda aktif olduğu görüldü. Bunlardan dördü geçen hafta yoktu veya marjinaldi — kampanya yenilenmesi bu pencerede belirgin.


Altı Kampanya — Link’lerle

1. 01ba4719 SSH Dropper: Yeni Dominant IOC

14 Nisan’da ortaya çıkan yeni SHA256. 5 günde 459 SFTP indirme — doğrudan Cowrie’ye yüklenen cloud VM ağırlıklı dağıtım. mdrfckr cleanup pattern’i ile birebir örtüşüyor → eski kampanyanın payload adı değişmiş gibi görünüyor.

2. Solana Ekosistemi: validator, solv, sollet, solr

11 Nisan Mirai mutasyonu olarak işaretlediğimiz kampanya role-specific evreye geçti. Generic sol/solana brute yerine şimdi staking validator’ları ve wallet CLI’ları hedefleniyor.

3. DoublePulsar TR Payı %10

21.802+ Suricata alert. Hindistan %57 ile dominant oldu, Türkiye ilk kez %10 pay aldı. TR ağlarında infekte Windows host havuzu olgunlaştı — TR Radar #3’ün devamı.

4. VNC Açık Authentication Dalgası

9 Nisan proxy/VNC kampanyasının ikinci dalgası. Baseline’da olmayan ET EXPLOIT VNC Server Not Requiring Authentication imzası 5 günde 2.642 alert üretti.

5. ConPot 14x ICS/SCADA Sıçrama

7 günlük baseline 21 event’ti, 5 günde 300 event = 14 kat. DigitalOcean çıkışlı iki IP tandem tarama — Shodan/Censys profili yok, araştırma dışı operatör imzası.

6. Uygulama-Spesifik Credential Trendi

claude (125 hit), frappe (133), odoo (157), steam (258), n8n (12), validator (54). Generic root/admin spraying’den uygulama-profil hedeflemeye dönüşüm.

Bonus: Redtail Cryptominer 5. Binary

130.12.180.51 staging server 15 Nisan 20:43 UTC’de beşinci hash’li binary yükledi (783adb7a...). Aktif geliştirme sinyali.


Hacim Tablosu

TarihToplam EventNot
13 Nis1.469.737Yüksek hacimli pencere başlangıcı
14 Nis2.700.235Dönem zirvesi
15 Nis1.602.184Yüksek seviye sürüyor
16 Nis578.018Normalleşme başlıyor
17 Nis (07:54’e)195.262Kısmi gün
Toplam6.545.4365 günlük OPSEC-filtreli toplam

Pot Hacim Tablosu (Gürültü Filtreli)

Pot5G EventNot
Suricata5.016.47410K ES alert limit (gerçek 21K+ DoublePulsar)
Cowrie195.6637G baseline’ın 5x üstü
Dionaea46.241SMB exploitation (DoublePulsar ilişkili)
Tanner5.197Web exploit, IoT RCE
Mailoney3.653SMTP relay keşfi
Sentrypeer2.940SIP toll fraud
Heralding2.770Multi-protocol credential
Glutton2.503Multi-protocol TCP, ICS portları
H0neytr4p1.430HTTPS web shell
ConPot30014x artış (baseline 21)

Coğrafi Dağılım (Top 10)

#ÜlkeEventNot
1ABD1.956.579Reflection kurban ASN’leri
2Almanya1.196.686Strato + Hetzner
3Romanya419.407Voxility LLP
4İngiltere379.529Hostinger UK
5Arjantin233.438Dattatec shared hosting
6Endonezya161.655Aktif saldırgan
7Fransa130.859OVH karma
8Çin125.925Gerçek saldırgan ağırlıklı
9İsrail117.462Bezeq araştırma/scan
10Pakistan83.029Koordineli SSH brute

Devam Eden Kampanyalar (eski ama hâlâ aktif)

  • MikroTik RouterOS API Bruteforce (Manticore): Port 8728’de 20.642 event, 45.205.1.5 ailesi hâlâ aktif
  • AS7552 Viettel VN Koordineli SSH: 27.79.41.136 + 171.231.178.49 subnet’leri, 10.062 event
  • Sentrypeer SIP Toll Fraud: 2.940 event, dominant IP değişti → 137.74.16.122 + 91.240.64.4
  • SOSTREA IoT (5.175.223.249): C2 aynı, yeni Tanner kaynakları — Rusya/Belarus subnet’leri

Durmuş / Mutasyona Uğramış

  • mdrfckr keyword’ü 5 gün boyunca 0 hit01ba4719 bu kampanyanın yeni payload adı olma ihtimali yüksek (cleanup pattern birebir)
  • Ethereum 30303 takibi — bu dönem anlamlı sinyal üretmedi

Yeni Cowrie Credential Anomalileri

Önceki uygulama-spesifik credential yazımızın kısa özeti:

  • claude — 125 hit (LLM servis hedeflemesi?)
  • frappe — 133 hit (ERPNext)
  • odoo — 157 hit (ERP)
  • steam — 258 hit (consumer cihaz)
  • 345gs5662d34 — password 979 kez denendi (baseline 204)

Veri ve Metodoloji Notları

  • Sayılar OPSEC-filtreli ham logların aggregate özetidir.
  • Dahili trafik, yönetim trafiği ve operasyonel kaynaklar public yayından çıkarılmıştır.
  • Fatt + P0f pasif fingerprint gürültüsü kampanya yorumunda yardımcı sinyal olarak kullanılmış, ana IoC listesine dahil edilmemiştir.

Sonraki Bülten

  • 7 günlük pencere (20-26 Nis)
  • TR Radar #5: DoublePulsar TR kaynaklı aktivite takibi

Tellal tehdit-istihbarat bülten serisi. Bu konsolide bülten 5 ayrı kampanya analizi + TR Radar + IOC update + credential trend yazılarımızın haftalık özetidir.