Bülten.Arşivi
Tellal honeypot ağından gözlemlenen tehdit aktivitesinin haftalık/periyodik analizleri. IoC raporları, kampanya keşifleri, Türkiye odaklı radar yayınları.
Bülten 10–14 Temmuz: React2Shell Tarayıcısı Feed'e Girdi, SSH Playbook'u Banatsync Üçlüsüne Taşındı, Kısa Ama Sert Dalga
Haftalık pencerede feed'e 1.397 yeni IoC girdi ve 11 Temmuz'da tek günde 783K event ile geçen haftanın sakinliği kısa sürdü. 2025 tarihli React Server Components açığı (CVE-2025-55182) ilk kez tarama listelerimizde göründü, SSH persistence playbook'u senkron bir Banatsync üçlüsüne taşındı ve SOSTREA/TBK istismarı yavaşladı ama path marker'ı sabit kaldı. Geçen bültenin öngörüleri yine test edildi.
Bülten 3–9 Temmuz: Bucklog Tarama Selleri, SOSTREA'nın arm7 Dönemi ve SSH Playbook'unun Yeni Taşıyıcıları
Haftalık pencerede feed'e 1.506 yeni IoC girdi; günlük ham hacim önceki döneme göre %72 düştü. Bucklog SARL kümesi /24-senkron flood'a evrildi (tek günde ~158K event), SOSTREA arm7 varyantına geçip payload hostlarını yine değiştirdi ve Romanya SSH persistence playbook'unu yeni bir senkron ikili devraldı. Geçen bültenin üç tahmini de bu hafta doğrulandı.
Bülten 7 Haziran – 3 Temmuz: TR Hosting Dalgası, Romanya Kampanyasının Finali ve SOSTREA'nın Yeni Payload Altyapısı
Yaklaşık bir aylık pencerede feed'e 13.571 yeni IoC eklendi; bunların %47'si Türkiye kaynaklı. TR hosting ASN'lerinden üç ayrı dalga geldi ve Türkiye tüm zamanlar sıralamasında 4.'lükten 2.'liğe yükseldi. Romanya kaynaklı SSH persistence kampanyası 30 Haziran'da sustu. SOSTREA/TBK ailesi payload altyapısını değiştirerek geri döndü: yeni dağıtım hostları ve arm7 varyantı.
Bülten 4–7 Haziran: Romanya Kaynaklı SSH Persistence Kuyruğu ve Düşmeyen SMTP/SOSTREA İzleri
4–7 Haziran penceresinde 3.39M ham event görüldü. 5 Haziran tek başına 1.84M event ile dönem zirvesi oldu. Romanya kaynaklı iki IP, SSH brute-force sonrası authorized_keys persistence davranışını sürdürdü; SMTP ve SOSTREA düşük hacimde ama kalıcı kaldı.
Bülten 23 Mayıs–3 Haziran: SSH Persistence Dalgası, SMTP Geri Dönüşü ve SOSTREA Kuyruğu
12 günlük pencerede 2.03M aksiyonlanabilir event. 24 Mayıs'ta Cowrie 274K event ile dönem zirvesi yaptı; SSH tarafında authorized_keys persistence playbook'u yeniden baskınlaştı. SMTP open-relay araması 2 Haziran'da tekrar büyüdü, TBK DVR/SOSTREA düşük hacimli ama kalıcı kaldı.
Bülten 18–22 Mayıs: TR Hosting Kaynaklı SSH/Web Scan Patlaması
5 günde 932.788 event. 21 Mayıs'ta 509K event ile dönem zirvesi görüldü: TR kaynaklı hosting ağları Suricata trafiğinin ana gövdesini oluşturdu. 22 Mayıs'ta Hong Kong kaynaklı tek aktör Cowrie'de öne çıktı. MySQL 3306 ve Mailoney SMTP dalgaları zayıflarken TBK DVR/SOSTREA operatörü düşük hacimde devam etti.
Bülten 10–17 Mayıs: MSSQL Sustu, MySQL Konuştu, Mdrfckr Daralıyor
8 günde 2.00M event. Geçen dönemin manşeti MSSQL mega-probe bu pencerede tamamen sustu (Dionaea 1.69M → 1.6K). Yerini Bulgaristan kaynaklı tek aktörün MySQL 3306 brute kampanyası aldı. Mailoney SMTP open-relay arayışı 8× büyüdü. Mdrfckr playbook unique IP havuzu yarıya indi ama `/etc/hosts.deny` temizleme TTP'si kökleşti. 13 Mayıs günü Endonezya kaynaklı tek IP gün boyu Cowrie trafiğinin %66'sını üretti. Conficker P2P UDP imzaları 18 yıl sonra hâlâ Top 1.
Bülten 1–8 Mayıs: MSSQL Mega-Probe, Cross-Platform IoT Avcısı ve VNC 28× Patlaması
8 günde 16.67M event. Dionaea MSSQL 5 Mayıs tek günde 676K hit ile rekor kırdı, Bulgaristan kaynaklı tek aktör Hikvision SOSTREA ile TBK DVR CVE-2024-3721'i çapraz hedefliyor, VNC tarama bir önceki dönemin 28 katı. Mdrfckr plateau'su daralıyor ama DoublePulsar yeniden ısındı.
24 Saatlik Bülten (29–30 Nis): mdrfckr Multi-Payload'a Evrildi, Fransa /28 Bloğu ve TR'den 18.9K Event
Son 24 saatte üç yeni gelişme: Outlaw playbook'u tek dosyadan 10 dosya/session'a geçti (mdrfckr + 9 yeni SHA256), 185.177.72.0/28 Fransa bloğu koordineli HTTP taraması yapıyor, Türkiye top 8'de 18.9K event'le ilk kez beliriyor. .env avcılığı 3.676 hit'e tırmandı.
Ara Bülten (18–21 Nisan 2026): D-Link SSDP CVE Dalgası ve 19 Nisan Spike'ı
5 günlük bültenimizin ardından 18-21 Nisan penceresinde 1,62M event topladık. D-Link SSDP Command Injection (CVE-2025-10629, CVE-2026-3485) ilk kez imza bazında görüldü; 19 Nisan'da hacim 746K'a fırladı (2,3× baseline). DoublePulsar 47K+ alert ile iki katına çıktı, Brezilya ilk kez Top 3 coğrafi dağılıma girdi.
5 Günlük Bülten (13-17 Nisan 2026): Altı Ayrı Kampanya Bir Haftada
13-17 Nisan penceresinde honeypot altyapımız 6,55 milyon event topladı. Gürültü filtreli 258K gerçek analiz kümesinde 6 ayrı kampanya öne çıktı: 01ba4719 SSH dropper, mdrfckr mutasyonu, DoublePulsar coğrafi genişleme, VNC açık-auth dalgası, ConPot 14x sıçrama, Solana ekosistemi role-specific hedefleme. Bu bülten 5 günün konsolide özetidir — her konu için deep-dive link'leri içerir.
Redtail Cryptominer 5. Binary: `783adb7a` Eklendi, Staging Server Aktif
7 Nisan'dan beri izlediğimiz Redtail cryptominer kampanyası 14-15 Nisan'da dördüncüden beşinci mimari binary'sine geçti. `130.12.180.51` staging server'ı 15 Nisan 20:43 UTC'de yeni hash'li `783adb7ad6b16fe9...` binary'sini yükledi. Dört mimari baseline (arm7/arm8/i686/x86_64) artık beş binary'ye çıktı — aktif geliştirme sinyali.
TR Radar #4: DoublePulsar TR Payı Aslında Tek IP — `176.237.194.250` 5 Günde 1.432 Event
ES sorgusu beklenmedik sonuç verdi. Türkiye'den çıkan 1.482 DoublePulsar alert'in %96'sı (1.432) tek bir IP'den: `176.237.194.250` (AS16135 Turkcell). Geriye kalan %4, iki IP üzerinden (78.186.117.164 TT + 91.93.183.92 Tellcom). TR compromise havuzu henüz olgunlaşmamış — ama bir Turkcell customer Windows host 5 gündür global SMB exploit dağıtıyor.
Bülten 15 Nisan: Yeni Zirve, Winbox ve 345gs
52 saatte 5.14M event, 14 Nisan rekoru 2.7M; Winbox taraması 57×, Cowrie 1.017 başarılı giriş, CVE-2025-55182 ilk kez, 345gs kampanyası.
TR Radar #3: DoublePulsar ve 185.67.33.0/24 Bloğu
52 saatte TR kaynaklı 18.492 olay, 1.482 DoublePulsar. BTK tahsisli 185.67.33.0/24 bloğundan 7 IP koordineli; infekte Windows host tabanı.
Eşleşen yayın yok.