Bülten. Arşivi
Tellal honeypot ağından gözlemlenen tehdit aktivitesinin haftalık/periyodik analizleri. IoC raporları, kampanya keşifleri, Türkiye odaklı radar yayınları.
Bülten 18–22 Mayıs: TR Hosting Kaynaklı SSH/Web Scan Patlaması
5 günde 932.788 event. 21 Mayıs'ta 509K event ile dönem zirvesi görüldü: TR kaynaklı hosting ağları Suricata trafiğinin ana gövdesini oluşturdu. 22 Mayıs'ta Hong Kong kaynaklı tek aktör Cowrie'de öne çıktı. MySQL 3306 ve Mailoney SMTP dalgaları zayıflarken TBK DVR/SOSTREA operatörü düşük hacimde devam etti.
Bülten 10–17 Mayıs: MSSQL Sustu, MySQL Konuştu, Mdrfckr Daralıyor
8 günde 2.00M event. Geçen dönemin manşeti MSSQL mega-probe bu pencerede tamamen sustu (Dionaea 1.69M → 1.6K). Yerini Bulgaristan kaynaklı tek aktörün MySQL 3306 brute kampanyası aldı. Mailoney SMTP open-relay arayışı 8× büyüdü. Mdrfckr playbook unique IP havuzu yarıya indi ama `/etc/hosts.deny` temizleme TTP'si kökleşti. 13 Mayıs günü Endonezya kaynaklı tek IP gün boyu Cowrie trafiğinin %66'sını üretti. Conficker P2P UDP imzaları 18 yıl sonra hâlâ Top 1.
Bülten 1–8 Mayıs: MSSQL Mega-Probe, Cross-Platform IoT Avcısı ve VNC 28× Patlaması
8 günde 16.67M event. Dionaea MSSQL 5 Mayıs tek günde 676K hit ile rekor kırdı, Bulgaristan kaynaklı tek aktör Hikvision SOSTREA ile TBK DVR CVE-2024-3721'i çapraz hedefliyor, VNC tarama bir önceki dönemin 28 katı. Mdrfckr plateau'su daralıyor ama DoublePulsar yeniden ısındı.
24 Saatlik Bülten (29–30 Nis): mdrfckr Multi-Payload'a Evrildi, Fransa /28 Bloğu ve TR'den 18.9K Event
Son 24 saatte üç yeni gelişme: Outlaw playbook'u tek dosyadan 10 dosya/session'a geçti (mdrfckr + 9 yeni SHA256), 185.177.72.0/28 Fransa bloğu koordineli HTTP taraması yapıyor, Türkiye top 8'de 18.9K event'le ilk kez beliriyor. .env avcılığı 3.676 hit'e tırmandı.
Ara Bülten (18–21 Nisan 2026): D-Link SSDP CVE Dalgası ve 19 Nisan Spike'ı
5 günlük bültenimizin ardından 18-21 Nisan penceresinde 1,62M event topladık. D-Link SSDP Command Injection (CVE-2025-10629, CVE-2026-3485) ilk kez imza bazında görüldü; 19 Nisan'da hacim 746K'a fırladı (2,3× baseline). DoublePulsar 47K+ alert ile iki katına çıktı, Brezilya ilk kez Top 3 coğrafi dağılıma girdi.
5 Günlük Bülten (13-17 Nisan 2026): Altı Ayrı Kampanya Bir Haftada
13-17 Nisan penceresinde honeypot altyapımız 6,55 milyon event topladı. Gürültü filtreli 258K gerçek analiz kümesinde 6 ayrı kampanya öne çıktı: 01ba4719 SSH dropper, mdrfckr mutasyonu, DoublePulsar coğrafi genişleme, VNC açık-auth dalgası, ConPot 14x sıçrama, Solana ekosistemi role-specific hedefleme. Bu bülten 5 günün konsolide özetidir — her konu için deep-dive link'leri içerir.
Redtail Cryptominer 5. Binary: `783adb7a` Eklendi, Staging Server Aktif
7 Nisan'dan beri izlediğimiz Redtail cryptominer kampanyası 14-15 Nisan'da dördüncüden beşinci mimari binary'sine geçti. `130.12.180.51` staging server'ı 15 Nisan 20:43 UTC'de yeni hash'li `783adb7ad6b16fe9...` binary'sini yükledi. Dört mimari baseline (arm7/arm8/i686/x86_64) artık beş binary'ye çıktı — aktif geliştirme sinyali.
TR Radar #4: DoublePulsar TR Payı Aslında Tek IP — `176.237.194.250` 5 Günde 1.432 Event
ES sorgusu beklenmedik sonuç verdi. Türkiye'den çıkan 1.482 DoublePulsar alert'in %96'sı (1.432) tek bir IP'den: `176.237.194.250` (AS16135 Turkcell). Geriye kalan %4, iki IP üzerinden (78.186.117.164 TT + 91.93.183.92 Tellcom). TR compromise havuzu henüz olgunlaşmamış — ama bir Turkcell customer Windows host 5 gündür global SMB exploit dağıtıyor.
Bülten 15 Nisan: Yeni Zirve, Winbox ve 345gs
52 saatte 5.14M event, 14 Nisan rekoru 2.7M; Winbox taraması 57×, Cowrie 1.017 başarılı giriş, CVE-2025-55182 ilk kez, 345gs kampanyası.
TR Radar #3: DoublePulsar ve 185.67.33.0/24 Bloğu
52 saatte TR kaynaklı 18.492 olay, 1.482 DoublePulsar. BTK tahsisli 185.67.33.0/24 bloğundan 7 IP koordineli; infekte Windows host tabanı.
Eşleşen yayın yok.