← Tüm Yazılar
KAMPANYA MEDIUM 20 Nisan 2026

Solana Ekosistemi Hedeflemesi Evrimleşiyor: `validator`, `solv`, `sollet` Credential'ları Devrede

11 Nisan'da Mirai mutasyonu olarak işaretlediğimiz 'Solana avcıları' kampanyası 13-17 Nisan penceresinde evre atladı: Generic `sol/solana` brute-force'tan ekosistem-spesifik credential hedeflemeye. `validator` (54 deneme), `solv` (121), `sollet` (4), `solr` (4) — staking node operatörleri ve wallet yazılımları artık doğrudan nişanda.

📅Veri dönemi: 13–17 Nisan 2026 · OPSEC-filtreli · 5 günlük pencere · [11 Nisan Solana bülteni](/blog/2026-04-11-solana-avcilari-mirai-mutasyonu/) devamı

Özet

54`validator` denemesi
121`solv` denemesi
979`345gs5662d34` password
1.693Başarılı Cowrie login

11 Nisan yayınımızda Mirai botnet varyantının generic sol (40 deneme) ve solana (67 deneme) kullanıcı adlarını brute-force listesine eklediğini işaretlemiştik. O dönemde bizim için kampanya bir Mirai mutasyonunun jenerik kripto-merakı gibi görünüyordu.

5 gün sonra tablo değişti. Aynı saldırgan havuzu artık Solana ekosisteminin spesifik yazılım ve rol adlarını nişanda tutuyor. Bu bir tarama değil — bir operatör envanteridir.

Credential Pattern Evrimi

Baseline (11 Nisan bülteni)

UsernameDenemeYorum
sol40Generic
solana67Generic
345gs5662d34 password204Default password signature
3245gs5662d34 password202Yakın varyant

5 Günlük Yeni Pencere (13-17 Nis)

Username5G HitDeğişim
345gs5662d34 (password)979Baseline 204 → +380%
root491Evrensel
admin235Evrensel
solv121YENİ — Solana wallet aracı
ubuntu61Ubuntu cihaz
validator54YENİ — Staking node operatörü
user49Generic
odoo157ERP
n8n12Workflow automation
sollet4YENİ — Sollet wallet
solr4YENİ — Solana node RPC

Baseline’daki iki generic kullanıcı adı (sol, solana) listedeki eski yerlerini korurken dört yeni role-specific username eklendi. Üç soru sormak lazım:

  1. validator kimdir?
  2. solv nedir?
  3. Bu listeye nasıl gelindi?

Role Anatomisi

validator — Staking Node Operatörleri

Solana validator node’u, staking ödülü karşılığında ağın fikir birliğine katılan bir sunucudur. Operatörleri tipik olarak:

  • Ayrılmış Linux sunucularında çalışır (Ubuntu, Debian ağırlıklı)
  • SSH ile bakım yapar
  • validator veya solana-validator gibi dedicated bir sistem kullanıcı adı tutar
  • Yüklü stake delegasyonuna sahiptir → bir kompromis doğrudan para kaybıdır

54 SSH brute denemesi az görünüyor olabilir ama rakamın kendisi değil, rol-specific olması anlamlı. Saldırgan jenerik tarama değil, bir hedef profili kurmuş.

solv — Solana Wallet CLI

solv Solana ekosisteminde bir wallet/CLI aracı olarak kullanılıyor (Solana Virtual CLI veya benzeri araçların default kullanıcı adı). 121 deneme — listedeki Solana ailesinin en yüksek hit sayısı.

sollet — Sollet Wallet

Sollet.io browser wallet’ının CLI tarafı veya self-hosted kurulumu. 4 hit düşük ama sinyal kalitesi yüksek: jenerik bir username değil, sadece Sollet kullanıcıları bu isimde bir hesap oluşturur.

solr — Solana Node RPC

Solana node RPC operatörlerinin tercih ettiği bir dağıtım user adı. 4 hit.

Password Kalıbı — 345gs5662d34 Neden Önemli

13-17 Nis penceresinde 345gs5662d34 password’ü 979 kez denendi (baseline 204). Bu password ilk kez 15 Nisan winbox-345gs yazımızda detaylıca incelenmişti — tek bir kullanıcı adına değil, çok çeşitli username’lere birleştiriliyor. Kampanyanın “credential listesinden ziyade credential imzası” olduğu hipotezini bu 5 günlük pencere güçlendiriyor.

Saldırgan düşüncesi:

  • Brute-force araçları (Hydra, Medusa) username-password çiftleri yerine sabit password → çoklu username modunda çalışır
  • 345gs5662d34 bir “magic password” gibi davranıyor — muhtemelen bir IoT/cihaz default password’ü üzerine kurulu

Bu password + validator kombinasyonu bir Solana staking operatörünün default password’ü bozmamış olma ihtimaline oynuyor.

Başarılı Login Envanteri

5 günde 1.693 Cowrie başarılı SSH login gözlendi. Pot kabul ediyor — gerçek sunucu olsa kompromis. Top 10:

UsernameBaşarılıProfil
root491Tüm cihazlar
admin235Network/appliance
ubuntu61Cloud VM
user49Generic
345gs5662d3426Default password username olarak deneniyor
odoo18ERP
postgres16DB admin
test16Dev
n8n12Workflow automation
AdminGPON12Router

Solana family (validator, solv, sollet, solr) bu top 10’a girmedi — yani denendiler ama pot kabul etmedi (Cowrie default credential set’inde bu isimler yok). Saldırgan beklentisi karşılanmadı, ama üreten hacim denemelerinin genişliğini gösterir.

Saldırgan İşleyiş Hipotezi

Bu pattern’i üreten operatör muhtemelen şöyle çalışıyor:

  1. Hedef profili topla: Shodan/Censys gibi servislerde Solana RPC port (8899, 8900) veya solana-gossip pattern’li host’ları tara
  2. Role-specific credential listesi kur: Validator docs’ta (GitHub README’leri, Discord paylaşımları) geçen default user adları derle → validator, solv, sollet, solr
  3. Password spray: Her username için sabit 345gs5662d34 dene + 5-10 generic default (root/admin/123456)
  4. Başarılı login → ikinci aşama: Wallet key’leri veya staking keypair dosyasını ara (~/.config/solana/id.json)

Bu üçüncü adım hâlâ bir hipotez — bizim Cowrie pot’ları post-exploitation command’ları loglamadı (başarılı login olsa bile follow-up yok; saldırgan pot’u erken fark edip ayrılıyor). Ama hedefleme profili bu private key hırsızlığı patikasıyla tutarlı.

Aksiyon Önerileri

Solana validator/node operatörleri için:

  • SSH default user’ları kaldırvalidator gibi role-specific kullanıcı adlarını oluşturma; rastgele bir ad kullan
  • Password auth kapalı — yalnızca pubkey
  • Fail2ban + IP blocklist345gs5662d34 password denemesi instant-ban tetiği olsun
  • Keypair dosyalarını şifrele~/.config/solana/id.json düz metin tutma

Ağ operatörleri için:

  • Sollet/solv gibi spesifik credential attempt’leri anomalidir — generic brute’dan farklı imza
  • Intrusion detection kurallarına Solana username family’sini ekle

Metoloji ve Kaynaklar

Tellal tehdit-istihbarat bülten serisi. Honeypot gözlemine dayalı, atıf değeri yüksek, OPSEC-filtreli. Sonraki ele alınacak bölümler: DoublePulsar TR payı detaylı coğrafya, ConPot 14x artış ve ICS hedeflemesi.