5 Günlük Bülten (13-17 Nisan 2026): Altı Ayrı Kampanya Bir Haftada
13-17 Nisan penceresinde honeypot altyapımız 6,55 milyon event topladı. Gürültü filtreli 258K gerçek analiz kümesinde 6 ayrı kampanya öne çıktı: 01ba4719 SSH dropper, mdrfckr mutasyonu, DoublePulsar coğrafi genişleme, VNC açık-auth dalgası, ConPot 14x sıçrama, Solana ekosistemi role-specific hedefleme. Bu bülten 5 günün konsolide özetidir — her konu için deep-dive link'leri içerir.
Analiz: Erdem Özyurt · SiberKale Tellal
İçindekiler 17
- Yönetici Özeti
- Altı Kampanya — Link’lerle
- 1. 01ba4719 SSH Dropper: Yeni Dominant IOC
- 2. Solana Ekosistemi: validator, solv, sollet, solr
- 3. DoublePulsar TR Payı %10
- 4. VNC Açık Authentication Dalgası
- 5. ConPot 14x ICS/SCADA Sıçrama
- 6. Uygulama-Spesifik Credential Trendi
- Bonus: Redtail Cryptominer 5. Binary
- Hacim Tablosu
- Pot Hacim Tablosu (Gürültü Filtreli)
- Coğrafi Dağılım (Top 10)
- Devam Eden Kampanyalar (eski ama hâlâ aktif)
- Durmuş / Mutasyona Uğramış
- Yeni Cowrie Credential Anomalileri
- Veri ve Metodoloji Notları
- Sonraki Bülten
Yönetici Özeti
Son 5 gün geniş ve yoğun bir pencere oldu. P0f/Fatt pasif fingerprint gürültüsü (toplam ~1,26M event) hariç tutulduğunda altı ayrı tehdit kampanyasının aynı anda aktif olduğu görüldü. Bunlardan dördü geçen hafta yoktu veya marjinaldi — kampanya yenilenmesi bu pencerede belirgin.
Altı Kampanya — Link’lerle
1. 01ba4719 SSH Dropper: Yeni Dominant IOC
14 Nisan’da ortaya çıkan yeni SHA256. 5 günde 459 SFTP indirme — doğrudan Cowrie’ye yüklenen cloud VM ağırlıklı dağıtım. mdrfckr cleanup pattern’i ile birebir örtüşüyor → eski kampanyanın payload adı değişmiş gibi görünüyor.
2. Solana Ekosistemi: validator, solv, sollet, solr
11 Nisan Mirai mutasyonu olarak işaretlediğimiz kampanya role-specific evreye geçti. Generic sol/solana brute yerine şimdi staking validator’ları ve wallet CLI’ları hedefleniyor.
3. DoublePulsar TR Payı %10
21.802+ Suricata alert. Hindistan %57 ile dominant oldu, Türkiye ilk kez %10 pay aldı. TR ağlarında infekte Windows host havuzu olgunlaştı — TR Radar #3’ün devamı.
4. VNC Açık Authentication Dalgası
9 Nisan proxy/VNC kampanyasının ikinci dalgası. Baseline’da olmayan ET EXPLOIT VNC Server Not Requiring Authentication imzası 5 günde 2.642 alert üretti.
5. ConPot 14x ICS/SCADA Sıçrama
7 günlük baseline 21 event’ti, 5 günde 300 event = 14 kat. DigitalOcean çıkışlı iki IP tandem tarama — Shodan/Censys profili yok, araştırma dışı operatör imzası.
6. Uygulama-Spesifik Credential Trendi
claude (125 hit), frappe (133), odoo (157), steam (258), n8n (12), validator (54). Generic root/admin spraying’den uygulama-profil hedeflemeye dönüşüm.
Bonus: Redtail Cryptominer 5. Binary
130.12.180.51 staging server 15 Nisan 20:43 UTC’de beşinci hash’li binary yükledi (783adb7a...). Aktif geliştirme sinyali.
Hacim Tablosu
| Tarih | Toplam Event | Not |
|---|---|---|
| 13 Nis | 1.469.737 | Yüksek hacimli pencere başlangıcı |
| 14 Nis | 2.700.235 | Dönem zirvesi |
| 15 Nis | 1.602.184 | Yüksek seviye sürüyor |
| 16 Nis | 578.018 | Normalleşme başlıyor |
| 17 Nis (07:54’e) | 195.262 | Kısmi gün |
| Toplam | 6.545.436 | 5 günlük OPSEC-filtreli toplam |
Pot Hacim Tablosu (Gürültü Filtreli)
| Pot | 5G Event | Not |
|---|---|---|
| Suricata | 5.016.474 | 10K ES alert limit (gerçek 21K+ DoublePulsar) |
| Cowrie | 195.663 | 7G baseline’ın 5x üstü |
| Dionaea | 46.241 | SMB exploitation (DoublePulsar ilişkili) |
| Tanner | 5.197 | Web exploit, IoT RCE |
| Mailoney | 3.653 | SMTP relay keşfi |
| Sentrypeer | 2.940 | SIP toll fraud |
| Heralding | 2.770 | Multi-protocol credential |
| Glutton | 2.503 | Multi-protocol TCP, ICS portları |
| H0neytr4p | 1.430 | HTTPS web shell |
| ConPot | 300 | 14x artış (baseline 21) |
Coğrafi Dağılım (Top 10)
| # | Ülke | Event | Not |
|---|---|---|---|
| 1 | ABD | 1.956.579 | Reflection kurban ASN’leri |
| 2 | Almanya | 1.196.686 | Strato + Hetzner |
| 3 | Romanya | 419.407 | Voxility LLP |
| 4 | İngiltere | 379.529 | Hostinger UK |
| 5 | Arjantin | 233.438 | Dattatec shared hosting |
| 6 | Endonezya | 161.655 | Aktif saldırgan |
| 7 | Fransa | 130.859 | OVH karma |
| 8 | Çin | 125.925 | Gerçek saldırgan ağırlıklı |
| 9 | İsrail | 117.462 | Bezeq araştırma/scan |
| 10 | Pakistan | 83.029 | Koordineli SSH brute |
Devam Eden Kampanyalar (eski ama hâlâ aktif)
- MikroTik RouterOS API Bruteforce (Manticore): Port 8728’de 20.642 event, 45.205.1.5 ailesi hâlâ aktif
- AS7552 Viettel VN Koordineli SSH: 27.79.41.136 + 171.231.178.49 subnet’leri, 10.062 event
- Sentrypeer SIP Toll Fraud: 2.940 event, dominant IP değişti →
137.74.16.122+91.240.64.4 - SOSTREA IoT (5.175.223.249): C2 aynı, yeni Tanner kaynakları — Rusya/Belarus subnet’leri
Durmuş / Mutasyona Uğramış
mdrfckrkeyword’ü 5 gün boyunca 0 hit —01ba4719bu kampanyanın yeni payload adı olma ihtimali yüksek (cleanup pattern birebir)- Ethereum 30303 takibi — bu dönem anlamlı sinyal üretmedi
Yeni Cowrie Credential Anomalileri
Önceki uygulama-spesifik credential yazımızın kısa özeti:
claude— 125 hit (LLM servis hedeflemesi?)frappe— 133 hit (ERPNext)odoo— 157 hit (ERP)steam— 258 hit (consumer cihaz)345gs5662d34— password 979 kez denendi (baseline 204)
Veri ve Metodoloji Notları
- Sayılar OPSEC-filtreli ham logların aggregate özetidir.
- Dahili trafik, yönetim trafiği ve operasyonel kaynaklar public yayından çıkarılmıştır.
- Fatt + P0f pasif fingerprint gürültüsü kampanya yorumunda yardımcı sinyal olarak kullanılmış, ana IoC listesine dahil edilmemiştir.
Sonraki Bülten
- 7 günlük pencere (20-26 Nis)
- TR Radar #5: DoublePulsar TR kaynaklı aktivite takibi
Tellal tehdit-istihbarat bülten serisi. Bu konsolide bülten 5 ayrı kampanya analizi + TR Radar + IOC update + credential trend yazılarımızın haftalık özetidir.