📅 20 May 2026 · 📰 Security.com / Symantec · 🎯 Körfez Enerji Şirketleri / Petrol Sektörü · TLP:WHITE
İran bağlantılı Handala grubunun Sharjah National Oil Corporation ve Israel Opportunity Energy'den 1,3 TB'ı aşan veri sızdırdığı iddiası, bağımsız kaynaklarca henüz doğrulanamamıştır. Grubun paylaştığı belgeler eski tarihli dosyalardan oluşuyor olabileceği değerlendirilerek iddianın kısmen abartıldığı düşünülmektedir. Bu tür hacktivist gruplarda sık görülen bir taktik olan 'veri şişirme' (data inflation), gerçek sızıntı büyüklüğünü gizlemek ya da kamuoyu baskısı yaratmak amacıyla kullanılmaktadır. Saudi Aramco'nun da hedef alındığı öne sürülmekle birlikte bu iddia için herhangi bir teknik kanıt kamuoyuyla paylaşılmamıştır. Konuya ilişkin doğrulanmış teknik bulgu mevcut olmadığından, bu haberin ihtiyatla değerlendirilmesi gerekmektedir.
Handala, hacktivizm ile devlet destekli siber operasyonlar arasındaki gri alanda faaliyet gösteren İran bağlantılı bir tehdit grubudur. Grubun bilinen TTP'leri arasında spear-phishing kampanyaları, kimlik bilgisi toplama (credential harvesting) ve sızdırılan verilerin Telegram kanalları ile dark web platformlarında kamuoyuna duyurulması yer almaktadır. Aynı dönemde, yakın ilişkili başka bir İran APT grubu olan Seedworm (MuddyWater) ise teknik açıdan çok daha belgelenmiş saldırılar gerçekleştirmiştir: ABD'li bir banka, havalimanı ve yazılım şirketinin İsrail operasyonunu hedef alan bu kampanyada 'Dindoor' adlı yeni bir arka kapı tespit edilmiştir. Dindoor, JavaScript/TypeScript için güvenli çalışma ortamı olan Deno platformunu kullanmakta ve 'Amy Cherne' adına düzenlenmiş dijital bir sertifikayla imzalanmaktadır. Ayrıca 'Fakeset' adlı Python tabanlı bir arka kapı da Backblaze bulut depolama altyapısı üzerinden dağıtılmıştır.
Bölgesel gerilim bağlamında değerlendirildiğinde, 28 Şubat 2026'da gerçekleşen ABD-İsrail ortak hava operasyonlarının ardından İran bağlantılı siber tehdit aktörlerinin faaliyetlerini belirgin biçimde yoğunlaştırdığı görülmektedir. İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), İran devleti ve İran bağlantılı aktörlerin siber operasyon kapasitelerini büyük ölçüde koruduğunu ve İran bağlantılı hacktivist grupların da tehdit oluşturduğunu belirten bir uyarı yayımlamıştır. Handala grubunun, İran'da ilan edilen ulusal internet kapatma kararının ardından Ocak 2026 ortasından itibaren Starlink uydu ağını operasyonlarını sürdürmek için kullandığı Check Point tarafından raporlanmıştır. Bu durum, grubun kritik altyapı hedeflerine yönelik operasyonlarını kesintisiz yürütme kapasitesine sahip olduğuna işaret etmektedir.
Petrol, enerji ve finans sektörlerindeki kurumlar; hem Handala gibi hacktivist grupların hem de Seedworm gibi APT aktörlerinin öncelikli hedefleri arasında yer almaktadır. Seedworm'un tarihsel hedef profili incelendiğinde grubun 2017'den bu yana telekomünikasyon, savunma, yerel yönetim ve petrol/doğal gaz sektörlerini Orta Doğu, Asya, Afrika, Avrupa ve Kuzey Amerika genelinde hedef aldığı görülmektedir. CISA, Seedworm'u İran İstihbarat ve Güvenlik Bakanlığı'na (MOIS) bağlı bir tehdit grubu olarak tanımlamaktadır. Söz konusu grupların veri hırsızlığının yanı sıra Rclone gibi araçlarla veri sızdırma ve bulut depolama altyapısını (Wasabi, Backblaze) C2 kanalı olarak kullanma yöntemlerine başvurduğu gözlemlenmiştir.
Kuveyt Türk ve benzeri Körfez bölgesi finans kuruluşları için bu tehdit ortamı özellikle kritik bir önem taşımaktadır. Bölgedeki jeopolitik gerilim, İran bağlantılı aktörlerin finansal kurumları hem istihbarat toplama hem de kamuoyu baskısı yaratma amacıyla hedef almasını olası kılmaktadır. Handala'nın iddialarının doğruluğu netlik kazanmamış olsa da bu tür grupların gizli finansal sözleşmeleri, proje belgelerini ve müşteri verilerini hedef aldığı bilinmektedir. SOC ekiplerinin bulut depolama servislerine yönelik anormal veri çıkışlarını ve Rclone gibi araçların yetkisiz kullanımını aktif biçimde izlemesi önerilmektedir.