mdrfckr Sönmüyor: 8 Günde 1.036 Yeni IP — Kampanya Plateau'da
14 Nisan zirvesinin ardından mdrfckr/Dota botnet bitmedi, kalıcılaştı. 22-29 Nisan arasında 8 günde 1.036 farklı IP authorized_keys denedi; Asya yoğun, ama Azure ve OVH bulutlarından da geliyor.
Açılış: 14 Nisan Zirvesi Tek Seferlik Değildi
16 Nisan yazısında 14 Nisan’ın 2.70M event’lik rekorunu ve mdrfckr imzalı authorized_keys backdoor zincirini detaylı analiz etmiştik. O yazının ortaya çıkardığı asıl soru şuydu: 14 Nisan tek seferlik bir dalga mıydı, yoksa kalıcı bir kampanyanın zirvesi miydi?
Cevap netleşti. 22-29 Nisan arasında 8 gün boyunca her gün 200-380 arasında mdrfckr authorized_keys denemesi geldi. Toplam 2.064 event, 1.036 farklı kaynak IP, 15+ ülke. Kampanya bitmedi — sadece bir zirveden bir plateau’ya yerleşti. Daha fenası: 14 Nisan’da hücumu yapan 3 büyük tarayıcının yerini bugün dağıtık binlerce zombi cihaz aldı.
Veri Özeti
8 Günlük Trend Tablosu
| Tarih | Event | Not |
|---|---|---|
| 22 Nisan 2026 | 380 | En yoğun gün — 14 Nis’in mini yankısı |
| 23 Nisan 2026 | 214 | Düşüş |
| 24 Nisan 2026 | 257 | Stabilize |
| 25 Nisan 2026 | 246 | Stabilize |
| 26 Nisan 2026 | 319 | Yeniden yükseliş |
| 27 Nisan 2026 | 257 | Stabilize |
| 28 Nisan 2026 | 249 | Stabilize |
| 29 Nisan 2026 (kısmi) | 142 | — (gün henüz tamamlanmadı) |
| Toplam | 2.064 | Plateau profili |
8 günlük varyasyon ±%30 bandında. Bu profil tek seferlik bir kampanya değil, sürekli işleyen bir botnet altyapısının arka plan trafiği. 14 Nisan’ın 1.164 indirme + 7.508 DoublePulsar alert kombinasyonu artık tekrarlanmıyor — ama backdoor key enjeksiyonu çekirdek davranış olarak günde ~258 kez devam ediyor.
Coğrafya — Asya Ekseninde Dağıtık Botnet
1.498 olayın kaynak ülkesi tespit edildi (geri kalan ~566 olay GeoIP eşleşmedi). Asya menşeli ülkeler (Çin, Hong Kong, Endonezya, Hindistan, Vietnam, Güney Kore, Singapur, Japonya) toplamda 1.033 event üretti — yaklaşık %50. Bu profil bot hosting'in Asya APNIC bloklarına kaymış olduğuna işaret ediyor.
Top 15 Kaynak Ülke
| Sıra | Ülke | Event | Yorum |
|---|---|---|---|
| 1 | 🇨🇳 Çin | 218 | Chinanet, China Telecom, Beijing Baidu |
| 2 | 🇮🇩 Endonezya | 206 | APNIC ev ISP’leri yoğun |
| 3 | 🇭🇰 Hong Kong | 173 | UCloud, Tencent Cloud bulutları |
| 4 | 🇮🇳 Hindistan | 126 | ACT/JIO ev ISP altyapısı |
| 5 | 🇺🇸 ABD | 125 | Microsoft Azure ve büyük bulut sağlayıcılar |
| 6 | 🇧🇷 Brezilya | 122 | Yerel ev ISP’leri |
| 7 | 🇰🇷 Güney Kore | 101 | Korea Telecom (AS4766) |
| 8 | 🇻🇳 Vietnam | 90 | APNIC bloğu |
| 9 | 🇸🇬 Singapur | 76 | Singtel (AS136052) |
| 10 | 🇫🇷 Fransa | 54 | OVH ve Scaleway bulutları |
| 11 | 🇷🇺 Rusya | 44 | — |
| 12 | 🇯🇵 Japonya | 43 | — |
| 13 | 🇲🇽 Meksika | 43 | — |
| 14 | 🇩🇪 Almanya | 40 | Hetzner, OVH alt-PoP |
| 15 | 🇸🇨 Seyşel | 37 | Anonim VPS sağlayıcı bayrağı |
Türkiye bu listede yok — mdrfckr denemelerinin coğrafi dağılımında Türkiye kaynak ülke olarak görünmüyor. Yine de Türkiye’deki SSH’a açık sunucular hedef konumunda; saldırının nereden geldiği değil, nereye gittiği önemli.
ASN Deşifresi — Bulutlar ve Ev ISP’leri Aynı Sepete Düşmüş
| ASN | Operatör | Event | Tip |
|---|---|---|---|
| 135377 | UCloud Information Technology | 128 | Bulut sağlayıcı (HK) |
| 136052 | Singtel Optus | 77 | ISP (SG) |
| 8075 | Microsoft Corp | 66 | Bulut (Azure) |
| 4766 | Korea Telecom | 51 | ISP (KR) |
| 132203 | Tencent Cloud | 50 | Bulut sağlayıcı (HK/CN) |
| 4134 | Chinanet | 40 | ISP (CN) |
| 38365 | Beijing Baidu Netcom | 38 | Bulut/ISP (CN) |
| 16276 | OVH SAS | 37 | Bulut sağlayıcı (FR) |
| 4811 | China Telecom | 34 | ISP (CN) |
| 150436 | VAYU NETWORK | 26 | Yerel ISP |
Listede en dikkat çekici iki kalem büyük bulut sağlayıcıları. Azure'dan 66 event, OVH'den 37 event. Bu IP'ler **ele geçirilmiş VM'ler veya ücretsiz/ucuz tier kötüye kullanımı** olabilir — saldırgan, abuse-report'a uğrasa bile saatler içinde yeni bir VM'le devam edebilir. Defansif tarafta: Azure ve OVH IP aralıklarından gelen agresif SSH trafiğini "trusted cloud" varsaymak ciddi yanlış. Suricata/firewall kuralları bu ASN'leri ev ISP'leri ile aynı şüphe seviyesine almalı.
Pattern: Top 10 ASN’in 6’sı Asya (UCloud, Singtel, Korea Telecom, Tencent, Chinanet, Baidu, China Telecom + VAYU = 8 aslında), 3’ü büyük Batı bulut sağlayıcısı (Microsoft Azure, OVH). Saldırgan iki dünyayı aynı anda kullanıyor: ucuz Asya VPS/CPE eko sistemi + Batı’nın yüksek-throughput bulutları.
14 Nisan’dan 22-29 Nisan’a: Yapısal Değişim
| Boyut | 14 Nisan (zirve) | 22-29 Nisan (plateau) |
|---|---|---|
| Günlük event | 2.70M (toplam) | ~258 (sadece authorized_keys) |
| Top 3 IP’nin payı | %43 (3 IP, 1.14M event) | %1.0 (3 IP, 22 event) |
| Unique IP / gün | düşük (3 IP dominant) | yüksek (~130 IP/gün) |
| Coğrafi yoğunluk | DE+US (3 IP’lik küme) | 15+ ülke dağıtık |
| Karakter | Spike — koordineli kampanya başlangıcı | Plateau — sürekli arka plan trafiği |
Saldırgan stratejisi değişti. 14 Nisan’da 3 büyük tarayıcı vardı — Strato AG, Hetzner, ABD bir cloud’u — bunlar çok yüksek throughput ile vurdu. 22 Nisan’dan sonra o profil yerini çok sayıda küçük zombi cihaza bıraktı; her IP günde ortalama sadece 1-8 deneme yapıyor. Bu profil:
- Rate-limit kaçınma: Tek IP fail2ban tetiklemeyecek kadar yavaş
- Atıf zorlaştırma: Tek bir kaynağa “bu kampanyanın merkezi” diyemiyoruz
- Süreklilik: Bir IP banlansa bile başkası alıyor, kampanya akışkan kalıyor
Bu klasik bir botnet operasyonel olgunluk sinyali. 14 Nisan’da yeni hedef listesi devreye alındı, takip eden 2 hafta o liste üzerinde dağıtık-yavaş tarama moduna geçildi.
Saldırı Kalıbı — Aynı Komut, Aynı Anahtar
22-29 Nisan boyunca toplanan 2.064 event’in tamamına yakını birebir aynı komut zinciriyle geliyor. Cowrie’den canlı bir örnek (29 Nis 20:06 UTC, kaynak 191.255.52.36 Brezilya):
cd ~ && rm -rf .ssh && mkdir .ssh && \
echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8d
bnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+
9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJ
OK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnv
lC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAs
PKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~Komutun bileşenleri:
rm -rf .ssh && mkdir .ssh— mevcutauthorized_keysne varsa silinir, yenisi yaratılır. Saldırganın anahtarı tek başına kalır, başka admin erişimi temizlenir.echo "ssh-rsa AAAAB3..." >> .ssh/authorized_keys— backdoor RSA public key’i enjekte edilir.mdrfckretiketi anahtarın “comment” alanında — bu Outlaw Group / Dota botnet’inin imzası.chmod -R go= ~/.ssh— diğer kullanıcılardan erişim kaldırılır (OpenSSHauthorized_keyspermission denetimini geçmek için).
Komut 2026’da hâlâ aynı. Outlaw Group bu zinciri 2017’den beri değiştirmedi çünkü değiştirmesine gerek olmadı — kurban tarafında eksik olan kontrol, anahtar değil.
16 Nisan yazısındaki tam playbook (8 adımlı persistence + system profiling) bu authorized_keys enjeksiyonu sonrası gelir; ancak son 8 gündeki event’lerin büyük çoğunluğu sadece adım 3’te kayıt etti — Cowrie session sonlandığı için sonraki adımlar honeypot tarafında görünmüyor olabilir. Yine de backdoor anahtar başarıyla enjekte ediliyor.
Yeni IOC Listesi (22-29 Nisan)
Aşağıdaki IP’ler 22-29 Nisan döneminde mdrfckr authorized_keys denemelerinde gözlemlendi. 16 Nisan yazısındaki IOC listesinin üzerine eklenmesi önerilir.
| IP | Coğrafya | Event | Not |
|---|---|---|---|
170.79.37.82 | — | 8 | En yüksek tekil hit (yine de düşük) |
103.191.14.243 | APNIC | 7 | Asya bloğu |
51.158.120.121 | FR — Scaleway | 7 | Bulut sağlayıcı |
101.44.200.55 | CN | 6 | Chinanet |
103.154.241.42 | APNIC | 6 | Asya bloğu |
103.76.120.106 | APNIC | 6 | Asya bloğu |
103.86.180.10 | APNIC | 6 | Asya bloğu |
111.238.174.6 | APNIC | 6 | Asya bloğu |
173.10.13.18 | US/CA | 6 | Kuzey Amerika |
210.79.191.76 | APNIC | 6 | Asya bloğu |
51.75.194.10 | FR — OVH | 6 | Bulut sağlayıcı |
191.255.52.36 | BR — AS27699 | son canlı örnek | Brezilya, ev ISP |
49.75.185.71 | CN — AS4134 | son canlı örnek | Chinanet |
189.203.163.10 | MX — AS22884 | son canlı örnek | Meksika, ev ISP |
Sabit IOC’lar (16 Nis yazısından, hâlâ geçerli):
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4...== mdrfckr(backdoor public key)a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2(Dota payload SHA256)51cba57125523ce4b9db67714a90bf6e(libssh-0.6.x HASSH)
IOC’lar CC0 lisansı altında — atıf gerekmeksizin kullanabilirsiniz.
Savunma — Tek Seferlik Denetim Yetmez
Tüm kullanıcı home dizinlerinde ~/.ssh/authorized_keys dosyalarını dakika bazında izleyen bir tripwire/auditd kuralı kurun. mdrfckr imzasını içeren herhangi bir echo >> authorized_keys komutu anlık alarm üretmeli. Tek seferlik denetim yeterli değil — kampanya plateau'da, yarın da gelecek.
Bu zincirin başlangıç noktası SSH brute-force. PasswordAuthentication no + ChallengeResponseAuthentication no + sadece public key. root login'i kapatın (PermitRootLogin no). Bu üçü, kampanyanın 1. adımını tamamen elimine eder.
Microsoft Azure (AS8075), OVH (AS16276), Scaleway, Hetzner ve UCloud gibi büyük bulut sağlayıcılarından gelen agresif SSH trafiği bu kampanyada büyük pay tutuyor. Suricata/firewall kuralları bu ASN'leri "güvenilir bulut" olarak işaretlemesin — botnet operatörleri ucuz/ücretsiz tier'i ele geçirmiş VM'lerle birlikte sıkça kötüye kullanır.
Tek başına port 22 → 2222 değişikliği bu kampanyayı durdurmaz. Tarama altyapısı tüm portları tarıyor; gerçek koruma key auth + IP allowlist + fail2ban + 2FA kombinasyonudur.
SHA256 a8460f446b... ve HASSH 51cba571... imzalarını EDR/SIEM kurallarınıza ekleyin. Mevcut bir Linux sunucuda ~/dl/ dizini varsa içeriğini hemen kontrol edin — kampanyanın payload yerleştirme dizinidir.
Kapanış — Kampanya Spike Değil, Plateau
14 Nisan zirvesi bir kez gelip geçen “ilan günü” değildi. Outlaw Group / Dota botnet kampanyası fonksiyonel olarak süreklilik moduna geçti: 8 gün boyunca 1.036 farklı zombi cihazdan günde ortalama 258 backdoor enjeksiyon denemesi. Bu artık olay değil, arka plan tehdidi.
İki çıkarım:
-
Honeypot zirvelere bakar; gerçek tehdit plateau’dadır. 14 Nisan’ın 2.70M event’i başlığı kapttı, ama kampanyanın sürekliliğini ortaya çıkaran şey takip eden iki haftanın “sıkıcı” sayıları oldu. Threat-intel okumasında olağan dışı yüksekliği değil, olağanüstü ısrarcılığı arayın.
-
2017’de yazılan playbook 2026’da hâlâ kâr ediyor. Outlaw Group sekiz yıldır aynı authorized_keys + SCP payload + şifre kilitleme zincirini kullanıyor. Çünkü kurban tarafında değişen bir şey yok — patchsiz SSH, zayıf credential ve izlenmeyen
~/.sshdizinleri yenilenebilir bir kaynak.
Bir sonraki yazıda: 22-29 Nisan döneminde authorized_keys denemesi ile login başarısı arasındaki oran (kampanyanın gerçek “verim” katsayısı) ve aynı dönemde gözlemlenen Suricata DoublePulsar/EternalBlue korelasyonu.
Metodoloji
Veriler SiberKale Hisar gözlemevi T-Pot kurulumunun Cowrie + Suricata pot’larından OPSEC filtreli extractor aracılığıyla alınmıştır. Pencere: 2026-04-22 00:00 UTC – 2026-04-29 (kısmi gün, ~21:00 UTC kesim). Sorgu kalıbı: match_phrase: "mdrfckr" ile authorized_keys enjeksiyon komutunu içeren tüm event’ler. RFC1918, CGNAT, dahili sensör IP’leri ve bilinen tarayıcı servisleri (Shodan/Censys/Palo Alto Xpanse) filtrelenmiştir. GeoIP eşleşmeyen ~566 event coğrafya tablosuna dahil edilmemiştir; ASN tablosunda yer alır.
Tellal tehdit-istihbarat bülten serisi. Bu yazı SiberKale Hisar gözlemevinin honeypot verilerine dayanmaktadır.
© SiberKale — CC BY 4.0