← Tüm Yazılar
TR RADAR HIGH 20 Nisan 2026

TR Radar #4: DoublePulsar TR Payı Aslında Tek IP — `176.237.194.250` 5 Günde 1.432 Event

ES sorgusu beklenmedik sonuç verdi. Türkiye'den çıkan 1.482 DoublePulsar alert'in %96'sı (1.432) tek bir IP'den: `176.237.194.250` (AS16135 Turkcell). Geriye kalan %4, iki IP üzerinden (78.186.117.164 TT + 91.93.183.92 Tellcom). TR compromise havuzu henüz olgunlaşmamış — ama bir Turkcell customer Windows host 5 gündür global SMB exploit dağıtıyor.

📅Veri dönemi: 13–17 Nisan 2026 · T-Pot Hive ES canlı sorgu · 5 günlük pencere

Özet

1.482TR DoublePulsar
%96Tek IP'den
3Unique TR source IP
AS16135Dominant ASN (Turkcell)

TR Radar #3 yayınının ardından 13-17 Nisan 5 günlük pencerede DoublePulsar TR payını detaylandırmak için T-Pot Hive Elasticsearch’e doğrudan sorgu yaptık. Beklenti: TR içinde onlarca infekte Windows host’un katkıda bulunduğu bir havuz.

Gerçek tablo çok farklı çıktı. 5 günde 23.368 toplam DoublePulsar hit’in 1.482’si Türkiye kaynaklı (%6.3, 8. sıra — ilk ön-bültenlerdeki %10 tahmini yanlıştı). Ama asıl şok coğrafya değil, tek tek kaynak IP’lerin dağılımı:

Kaynak IP5G HitASNOperatörPay
176.237.194.2501.432AS16135Turkcell İletişim%96.6
78.186.117.16426AS9121Türk Telekom (TTNet)%1.8
91.93.183.9224AS34984Tellcom / Superonline%1.6

Türkiye’nin “DoublePulsar global payı” aslında bir tek Turkcell müşterisi.

Hikayenin Değişmesi

Önceki ön-bültenlerde “TR içinde compromise havuzu olgunlaşıyor” gibi bir çerçeve kullandık. ES sorgusu bu çerçeveyi çürüttü:

Havuz Teorisi (Eski Çerçeve, YANLIŞ)

Birden fazla TR Windows host’un kompromize olduğu, aralarında lateral hareket yaptıkları, her birinin global kampanyaya az miktarda katkı verdiği.

Tek-Cihaz Gerçeği (Canlı Veri)

Bir tek cihaz (muhtemelen bir KOBİ file server, bir home user Windows, bir kurumsal firewall ardında SMB açık kalan Windows host) 5 gün boyunca global tarama yapmış. Geriye kalan iki IP gürültü seviyesinde.

Teknik yorum: DoublePulsar sonrası implant genellikle SMB worm-like davranışla yeni kurbanlar arar. Bir cihaz enfekte olduktan sonra lokal subnet’leri + rastgele global IP’leri tarar. 1.432 hit 5 günde = ~286 hit/gün = ~12 hit/saat. Bu hız klasik bir DoublePulsar worm sekansıdır.

176.237.194.250 — Zoom-in

IP Profili

  • IP: 176.237.194.250
  • ASN: AS16135 (Turkcell İletişim A.Ş.)
  • CIDR: Muhtemelen 176.237.0.0/16 içinde Turkcell fiber veya cellular-to-IP range
  • 5G hit: 1.432 — günlük ~286
  • Hedef: Honeypot IST sensör kümesi (ayrıca global potlar)

Tahminler

Turkcell’in 176.237.0.0/16 alanı genellikle:

  • SOHO/KOBİ fiber internet
  • Cellular data tethering (4.5G mobile hotspot)
  • Residential fiber
  • Küçük kurumsal aboneliker

Bu cihaz için üç ihtimal:

  1. Yamalanmamış Windows Server (KOBİ file server / backup sunucusu) — public 445 açık
  2. Yamalanmamış Windows 10/11 desktop — yanlış yapılandırılmış firewall
  3. Bir PoS / Kiosk cihaz — Windows Embedded tabanlı, SMB yaması yapılmamış

Aksiyon Öncelikleri

  • USOM (Ulusal Siber Olaylara Müdahale Merkezi) ile paylaş — IP + hit profili
  • Turkcell Abuse ([email protected]) — 5 günlük DoublePulsar alert’i
  • AbuseIPDB raporu kategori 18 (Brute-Force) + 20 (Exploited Host)
  • Gerekirse BTK şikayet — TT ve Superonline IP’lerinde benzer pattern çıkarsa

Mikroskop Altında İki Yardımcı IP

78.186.117.164 (AS9121 — Türk Telekom)

  • 26 hit, 5 gün
  • Ortalama günlük 5 hit
  • Gürültü seviyesinde — muhtemelen single-event infection veya scan tool

91.93.183.92 (AS34984 — Tellcom / Superonline)

  • 24 hit
  • Benzer profil: düşük-hacim, büyük ihtimalle kısa süreli scan/infection sonrası temizlenmiş

Bu iki IP için Whois/reverse DNS lookup + kısa izleme önerilir — eğer bir sonraki pencerede (18-25 Nis) hit artmazsa gerçekten temizlenmişlerdir.

Revize Edilen Global Sıra

Önceki ön-bültenlerdeki “Hindistan %57, TR %10” tahmini canlı veri ile tutmadı. Gerçek dağılım:

#Ülke5G HitPay
1🇮🇳 Hindistan5.706%24.4
2🇹🇭 Tayland2.227%9.5
3🇳🇬 Nijerya1.885%8.1
4🇻🇳 Vietnam1.623%6.9
5🇺🇦 Ukrayna1.610%6.9
6🇻🇪 Venezuela1.570%6.7
7🇨🇳 Çin1.566%6.7
8🇹🇷 Türkiye1.482%6.3
9🇹🇳 Tunus1.418%6.1
10🇵🇰 Pakistan1.412%6.0

Top 10 ülkeler ~%85 paya sahip. Hindistan hâlâ dominant ama %57 değil, %24. Dağılım daha yaygın.

Aksiyon Özeti

USOM / BTK için

  • 176.237.194.250 Turkcell müşterisi acilen takip edilmeli — 5 gün boyunca DoublePulsar atan bir Windows host
  • AS16135 Turkcell için abuse kanalı güçlendirme — bu ölçekte bir cihaz normal abuse pipeline’da fark edilmemiş görünüyor
  • TT (AS9121) ve Tellcom (AS34984) için 2 IP izleme listesine

Son Kullanıcılar için

  • Turkcell fiber müşterisi iseniz ve Windows Server/Windows Pro makinenizde RDP/SMB açıksa, 445 internet’e kapalı kontrol edin
  • Windows Update tam ve güncel olmalı — MS17-010 10+ yıl önce yamalandı, hâlâ yamalanmamış cihazlar bu dünyada fosiller

Araştırmacılar için

  • Bir sonraki TR Radar’da (18-25 Nis veya sonra) bu üç IP tekrar kontrol edilecek — düşüş veya devam ayrı sinyaller üretir
  • Ön-bülten tahminleri canlı ES sorgusuyla her bültende doğrulanmalı; tahmin hatalarına geri dönüp düzeltmek bu yazının var oluş sebebi

Metoloji

  • Veri: T-Pot Hive Elasticsearch, index’ler logstash-2026.04.13logstash-2026.04.17
  • Sorgu: alert.signature matches "DoublePulsar" + geoip.country_code2.keyword == "TR"
  • Toplam TR hit: 1.482 (global 23.368 içinde %6.3)
  • OPSEC: Kendi altyapı IP’leri ve RFC1918/CGNAT/BTK subnet hariç

Referanslar

Tellal tehdit-istihbarat bülten serisi. Önceki sürüm ön-bülten tahminleri içeriyordu; bu sürüm canlı Elasticsearch sorgusu ile revize edildi. Sayı düzeltmeleri saydam şekilde yapıldı — tahmin ≠ kanıt.