Bağımsız tehdit istihbaratı platformu. Honeypot ağı gözlem raporları, kampanya analizleri, IoC bültenleri.https://tellal.net/tr-TRhttps://tellal.net/blog/2026-05-22-bulten-tr-hosting-ssh-web-scan/https://tellal.net/blog/2026-05-22-bulten-tr-hosting-ssh-web-scan/5 günde 932.788 event. 21 Mayıs'ta 509K event ile dönem zirvesi görüldü: TR kaynaklı hosting ağları Suricata trafiğinin ana gövdesini oluşturdu. 22 Mayıs'ta Hong Kong kaynaklı tek aktör Cowrie'de öne çıktı. MySQL 3306 ve Mailoney SMTP dalgaları zayıflarken TBK DVR/SOSTREA operatörü düşük hacimde devam etti.Fri, 22 May 2026 00:00:00 GMTbultenioc-reporttr-radarssh-scansuricatacowriemysqlsmtptbk-dvrsostreathreat-intelhttps://tellal.net/blog/2026-05-17-bulten-mssql-sustu-mysql-konustu/https://tellal.net/blog/2026-05-17-bulten-mssql-sustu-mysql-konustu/8 günde 2.00M event. Geçen dönemin manşeti MSSQL mega-probe bu pencerede tamamen sustu (Dionaea 1.69M → 1.6K). Yerini Bulgaristan kaynaklı tek aktörün MySQL 3306 brute kampanyası aldı. Mailoney SMTP open-relay arayışı 8× büyüdü. Mdrfckr playbook unique IP havuzu yarıya indi ama `/etc/hosts.deny` temizleme TTP'si kökleşti. 13 Mayıs günü Endonezya kaynaklı tek IP gün boyu Cowrie trafiğinin %66'sını üretti. Conficker P2P UDP imzaları 18 yıl sonra hâlâ Top 1.Sun, 17 May 2026 00:00:00 GMTbultenioc-reportmssqlmysqldionaeacowriemdrfckroutlawconfickermailoneysmtp-brutehikvisionsostreathreat-intelhttps://tellal.net/blog/2026-05-08-bulten-mssql-mega-probe-cross-platform-iot/https://tellal.net/blog/2026-05-08-bulten-mssql-mega-probe-cross-platform-iot/8 günde 16.67M event. Dionaea MSSQL 5 Mayıs tek günde 676K hit ile rekor kırdı, Bulgaristan kaynaklı tek aktör Hikvision SOSTREA ile TBK DVR CVE-2024-3721'i çapraz hedefliyor, VNC tarama bir önceki dönemin 28 katı. Mdrfckr plateau'su daralıyor ama DoublePulsar yeniden ısındı.Fri, 08 May 2026 00:00:00 GMTbultenioc-reportmssqldionaeavnchikvisionsostreatbk-dvrcve-2024-3721mdrfckrdoublepulsarsentrypeerics-scadamodbusthreat-intelhttps://tellal.net/blog/2026-04-30-24-saat-bulten-mdrfckr-multi-payload-evrim/https://tellal.net/blog/2026-04-30-24-saat-bulten-mdrfckr-multi-payload-evrim/Son 24 saatte üç yeni gelişme: Outlaw playbook'u tek dosyadan 10 dosya/session'a geçti (mdrfckr + 9 yeni SHA256), 185.177.72.0/28 Fransa bloğu koordineli HTTP taraması yapıyor, Türkiye top 8'de 18.9K event'le ilk kez beliriyor. .env avcılığı 3.676 hit'e tırmandı.Thu, 30 Apr 2026 00:00:00 GMTbulten24-saatmdrfckrdota-botnetmulti-payloadenv-huntingdoublepulsarturkeythreat-intelioc-reporthttps://tellal.net/blog/2026-04-29-mdrfckr-plateau-8-gun-1036-ip/https://tellal.net/blog/2026-04-29-mdrfckr-plateau-8-gun-1036-ip/14 Nisan zirvesinin ardından mdrfckr/Dota botnet bitmedi, kalıcılaştı. 22-29 Nisan arasında 8 günde 1.036 farklı IP authorized_keys denedi; Asya yoğun, ama Azure ve OVH bulutlarından da geliyor.Wed, 29 Apr 2026 00:00:00 GMTmdrfckrdota-botnetoutlaw-groupssh-backdoorpersistencefollow-upthreat-intelasiatrend-updatehttps://tellal.net/blog/2026-04-29-mdrfckr-verim-katsayisi-doublepulsar-kesisim/https://tellal.net/blog/2026-04-29-mdrfckr-verim-katsayisi-doublepulsar-kesisim/8 günde 79.769 SSH bağlantısı, 75.764 brute-force denemesi, 3.690 başarı (%4.87). Başarıların %55.9'u doğrudan mdrfckr playbook'una akıyor. Üstüne DoublePulsar IP'leriyle kesişim sıfır — iki ayrı altyapı.Wed, 29 Apr 2026 00:00:00 GMTmdrfckrdota-botnetoutlaw-groupssh-backdoordoublepulsareternalblueconversion-funnelthreat-inteldeep-diveattributionhttps://tellal.net/blog/2026-04-25-doublepulsar-4-kat-artis-eternalblue/https://tellal.net/blog/2026-04-25-doublepulsar-4-kat-artis-eternalblue/Honeypot verimiz konuşuyor: 22-25 Nisan arasında DoublePulsar/EternalBlue taraması 4.432'den 16.241'e fırladı. MS17-010 yamalamayanlar için tehdit çok gerçek.Sat, 25 Apr 2026 00:00:00 GMTdoublepulsareternalbluesmbms17-010hindistanthreat-inteldeep-divesuricatahoneypothttps://tellal.net/blog/2026-04-21-ara-bulten-18-21-nis-dlink-ssdp/https://tellal.net/blog/2026-04-21-ara-bulten-18-21-nis-dlink-ssdp/5 günlük bültenimizin ardından 18-21 Nisan penceresinde 1,62M event topladık. D-Link SSDP Command Injection (CVE-2025-10629, CVE-2026-3485) ilk kez imza bazında görüldü; 19 Nisan'da hacim 746K'a fırladı (2,3× baseline). DoublePulsar 47K+ alert ile iki katına çıktı, Brezilya ilk kez Top 3 coğrafi dağılıma girdi.Tue, 21 Apr 2026 00:00:00 GMTara-bultenhoneypotd-linkssdpcve-2025-10629cve-2026-3485doublepulsardns-ampupnpthreat-intelhttps://tellal.net/blog/2026-04-20-bulten-13-17-nis-5-gunluk-ozet/https://tellal.net/blog/2026-04-20-bulten-13-17-nis-5-gunluk-ozet/13-17 Nisan penceresinde honeypot altyapımız 6,55 milyon event topladı. Gürültü filtreli 258K gerçek analiz kümesinde 6 ayrı kampanya öne çıktı: 01ba4719 SSH dropper, mdrfckr mutasyonu, DoublePulsar coğrafi genişleme, VNC açık-auth dalgası, ConPot 14x sıçrama, Solana ekosistemi role-specific hedefleme. Bu bülten 5 günün konsolide özetidir — her konu için deep-dive link'leri içerir.Mon, 20 Apr 2026 00:00:00 GMTweekly-briefing13-17-nisankonsolidecowriesuricatadionaeaconpotdoublepulsarthreat-intelhttps://tellal.net/blog/2026-04-20-conpot-14x-ics-scada-yeni-dalga/https://tellal.net/blog/2026-04-20-conpot-14x-ics-scada-yeni-dalga/7 günlük baseline'da 21 event'e sahip olan ConPot pot'umuz, 13-17 Nisan 5 günlük pencerede 300 event topladı — 14 kat artış. DigitalOcean çıkışlı iki IP (139.59.181.152, 146.190.145.217) düzenli Siemens S7, Modbus, IPMI ve WinRM taraması yapıyor. Censys/Shodan profili yok — araştırma dışı operatör imzası.Mon, 20 Apr 2026 00:00:00 GMTcampaign-analysisicsscadaconpotgluttonsiemensmodbusipmiwinrmdigitaloceanthreat-intelhttps://tellal.net/blog/2026-04-20-redtail-5-binary-guncelleme/https://tellal.net/blog/2026-04-20-redtail-5-binary-guncelleme/7 Nisan'dan beri izlediğimiz Redtail cryptominer kampanyası 14-15 Nisan'da dördüncüden beşinci mimari binary'sine geçti. `130.12.180.51` staging server'ı 15 Nisan 20:43 UTC'de yeni hash'li `783adb7ad6b16fe9...` binary'sini yükledi. Dört mimari baseline (arm7/arm8/i686/x86_64) artık beş binary'ye çıktı — aktif geliştirme sinyali.Mon, 20 Apr 2026 00:00:00 GMTioc-updateredtailcryptominermonerolinux-malwarestaging-serversftpcowriethreat-intelhttps://tellal.net/blog/2026-04-20-saldirganlar-uygulama-spesifik-credential/https://tellal.net/blog/2026-04-20-saldirganlar-uygulama-spesifik-credential/13-17 Nisan 5 günlük Cowrie penceresinde 10+ uygulama-spesifik kullanıcı adı SSH brute-force listesinde ortaya çıktı. `claude` (125 hit) AI servisleri, `frappe` (133) ERPNext, `steam` (258) gaming, `odoo` (157) ERP, `n8n` (12) workflow. Generic `root`/`admin` taramasından uygulama-profil hedeflemeye dönüşüm.Mon, 20 Apr 2026 00:00:00 GMTcampaign-analysiscredential-sprayingcowriessh-bruteclaudeodoofrappesteamn8nthreat-inteltrendhttps://tellal.net/blog/2026-04-20-solana-ekosistemi-validator-hedeflemesi/https://tellal.net/blog/2026-04-20-solana-ekosistemi-validator-hedeflemesi/11 Nisan'da Mirai mutasyonu olarak işaretlediğimiz 'Solana avcıları' kampanyası 13-17 Nisan penceresinde evre atladı: Generic `sol/solana` brute-force'tan ekosistem-spesifik credential hedeflemeye. `validator` (54 deneme), `solv` (121), `sollet` (4), `solr` (4) — staking node operatörleri ve wallet yazılımları artık doğrudan nişanda.Mon, 20 Apr 2026 00:00:00 GMTcampaign-analysissolanavalidatorstakingcredential-sprayingcowriessh-brutethreat-intelcryptohttps://tellal.net/blog/2026-04-20-tr-radar-4-doublepulsar-turkiye-payi/https://tellal.net/blog/2026-04-20-tr-radar-4-doublepulsar-turkiye-payi/ES sorgusu beklenmedik sonuç verdi. Türkiye'den çıkan 1.482 DoublePulsar alert'in %96'sı (1.432) tek bir IP'den: `176.237.194.250` (AS16135 Turkcell). Geriye kalan %4, iki IP üzerinden (78.186.117.164 TT + 91.93.183.92 Tellcom). TR compromise havuzu henüz olgunlaşmamış — ama bir Turkcell customer Windows host 5 gündür global SMB exploit dağıtıyor.Mon, 20 Apr 2026 00:00:00 GMTtr-radarturkiyedoublepulsarsmbturkcellcompromise-hostusomthreat-intelwindowsisp-abusehttps://tellal.net/blog/2026-04-17-01ba4719-dropper-ve-5-gunluk-dalga/https://tellal.net/blog/2026-04-17-01ba4719-dropper-ve-5-gunluk-dalga/5 günlük pencerede (13-17 Nisan) mdrfckr kampanyası yeni bir hash'e evrildi, Redtail cryptominer beşinci mimari binary'sini yükledi, VNC açık-auth kampanyası sıfırdan 2.642 alert'e çıktı ve DoublePulsar coğrafyası Hindistan (%57) + Türkiye (%10) ağırlıklı bir havuza döndü. 01ba4719 SFTP dropper, 459 indirme ile yeni dominant IOC.Fri, 17 Apr 2026 00:00:00 GMTdeep-dive01ba4719mdrfckrredtaildoublepulsarvncsolanaconpotsostreasentrypeercowriesuricatadionaeaiocthreat-intelturkiyehttps://tellal.net/blog/2026-04-16-mdrfckr-dota-botnet-kampanyasi/https://tellal.net/blog/2026-04-16-mdrfckr-dota-botnet-kampanyasi/14 Nisan'da 2.7M event rekoru: mdrfckr imzalı SSH backdoor, DoublePulsar patlaması ve 2017'den beri aktif Dota botnetinin playbook'u.Thu, 16 Apr 2026 00:00:00 GMTcampaign-analysismdrfckrdota-botnetoutlaw-groupcowriedoublepulsarssh-backdoorcryptominersuricataiocthreat-intelhttps://tellal.net/blog/2026-04-15-bulten/https://tellal.net/blog/2026-04-15-bulten/52 saatte 5.14M event, 14 Nisan rekoru 2.7M; Winbox taraması 57×, Cowrie 1.017 başarılı giriş, CVE-2025-55182 ilk kez, 345gs kampanyası.Wed, 15 Apr 2026 00:00:00 GMTbultenioc-reportmikrotikwinboxcowriedoublepulsarconfickervnccve-2025-55182cve-2024-4577345gsgponodoodns-amplificationthreat-intelhttps://tellal.net/blog/2026-04-15-tr-radar-3/https://tellal.net/blog/2026-04-15-tr-radar-3/52 saatte TR kaynaklı 18.492 olay, 1.482 DoublePulsar. BTK tahsisli 185.67.33.0/24 bloğundan 7 IP koordineli; infekte Windows host tabanı.Wed, 15 Apr 2026 00:00:00 GMTtr-radarturkiyeturk-telekombtkdoublepulsarsmbinfected-hostsisp-abusethreat-intelhttps://tellal.net/blog/2026-04-15-winbox-345gs-mystery/https://tellal.net/blog/2026-04-15-winbox-345gs-mystery/MikroTik Winbox port 8291 taraması 15 hitten 858'e fırladı; SSH honeypot'ta `345gs5662d34` 1.200 kez, GPON default ile 12 başarılı giriş.Wed, 15 Apr 2026 00:00:00 GMTdeep-divemikrotikwinboxcowriecredentialgponalcatelodoocve-2025-55182cve-2024-4577doublepulsarconfickervncthreat-intelhttps://tellal.net/blog/2026-04-13-honeypot-bilen-saldirgan/https://tellal.net/blog/2026-04-13-honeypot-bilen-saldirgan/Cowrie SSH honeypot'umuza giren bir saldırgan T-Pot altyapısını keşfetmeye çalıştı — Elasticsearch şifresi ve Docker container listesi sorgulandı. Aynı dönemde MikroTik API (8728) ve Winbox (8291) eş zamanlı hedeflendi; Frappe ERP ve IPMI firmware yönetimi kurumsal altyapı trendine işaret ediyor. regreSSHion (CVE-2024-6387) uyarıları devam ediyor.Mon, 13 Apr 2026 00:00:00 GMTdeep-divehoneypot-awarenesstpotmikrotikregresshioncve-2024-6387erpfrappeipmicowriesuricatacredentialthreat-intelhttps://tellal.net/blog/2026-04-11-solana-avcilari-mirai-mutasyonu/https://tellal.net/blog/2026-04-11-solana-avcilari-mirai-mutasyonu/DNS fırtınası yatışırken yeni cepheler açıldı. Solana validator'larını hedefleyen credential kampanyası genişliyor, sin.sh Mirai varyantı 15 farklı yöntemle yayılıyor, port 3128 ve 139'da anomali spike tespit edildi. 7.85 milyon event, 21.917 benzersiz saldırgan.Sat, 11 Apr 2026 00:00:00 GMTdeep-divesolanamiraisin-shproxysmbcredentialbotnethoneypotcowriesuricatathreat-intelhttps://tellal.net/blog/2026-04-09-dns-amplification-firtinasi/https://tellal.net/blog/2026-04-09-dns-amplification-firtinasi/Honeypot ağımızda 5 günde 3.9 milyon DNS amplification probe tespit edildi. Toplam trafiğin %82'si tek bir porta yoğunlaşıyor. GoDaddy, Vietnam ve İngiliz VPS altyapısı kaynaklı devasa reflektör avcılığı kampanyası.Thu, 09 Apr 2026 00:00:00 GMTdns-amplificationddosreflectorgodaddyvietnamdeep-diveport-53suricatahttps://tellal.net/blog/2026-04-09-proxy-avlari-vnc-kampanyasi/https://tellal.net/blog/2026-04-09-proxy-avlari-vnc-kampanyasi/193 bin SOCKS proxy taraması ve 79 bin VNC brute force denemesi. Saldırganlar gizlenme altyapısı ve uzak erişim noktaları arıyor. Honeypot verilerinden kampanya analizi.Thu, 09 Apr 2026 00:00:00 GMTsocks-proxyvncbrute-forcedeep-divehoneypotsuricatadoublepulsarsmbuzak-erisimhttps://tellal.net/blog/2026-04-07-iot-malware-tbk-dvr/https://tellal.net/blog/2026-04-07-iot-malware-tbk-dvr/Web honeypot'umuza gelen bir HTTP isteği, TBK marka DVR cihazlarını hedef alan command injection saldırısını ve Mirai botnet varyantını ortaya çıkardı. Teknik analiz ve korunma yöntemleri.Tue, 07 Apr 2026 00:00:00 GMTiotmalwaremiraitbk-dvrcommand-injectionbotnetarm7honeypotdeep-divehttps://tellal.net/blog/2026-04-07-mikrotik-api-brute/https://tellal.net/blog/2026-04-07-mikrotik-api-brute/Glutton honeypot'umuz 24 saatte 891 MikroTik API (port 8728) brute-force denemesi yakaladı. Saldırı tekniği, IoC'ler ve MikroTik güvenlik sertleştirme rehberi.Tue, 07 Apr 2026 00:00:00 GMTmikrotikbrute-forceapirouteros8728honeypotispdeep-dive