📅 19–20 May 2026 · 📰 Halcyon / Security.com / Symantec · 🎯 Orta Doğu / Türkiye / Afrika / ABD Bankaları / Havalimanları · TLP:WHITE
Halcyon Ransomware Research Center (RRC), İran'ın ABD ve İsrail'in askeri operasyonlarına yanıt olarak siber misilleme kapasitesini artırdığını gözlemlemektedir. Bu bağlamda MuddyWater APT grubunun, Orta Doğu, Türkiye ve Afrika (META) bölgesini hedef alan 'Operation Olalampo' adlı siber saldırı operasyonunu aktif olarak yürüttüğü tespit edilmiştir. Operasyon, 'RedKitten' olarak izlenen ayrı bir kampanyayla TTP örtüşmeleri sergilemektedir. Halcyon'un bulgularına ek olarak Symantec/Security.com, Şubat 2026'dan bu yana MuddyWater'ın (Seedworm) bir ABD bankası, havalimanı ve savunma sektörüne hizmet veren bir yazılım şirketinin ağlarında varlığını sürdürdüğünü doğrulamıştır. Operasyonun kapsamı ve hedef çeşitliliği, grubun yalnızca istihbarat amaçlı değil; gerektiğinde yıkıcı (destructive) etki yaratmak üzere konumlandığına işaret etmektedir.
MuddyWater APT, Operation Olalampo çerçevesinde çok katmanlı bir saldırı zinciri uygulamaktadır. Grubun bilinen TTP'leri arasında DDoS saldırıları, uzun süreli ağ içi kalıcılık (persistence), veri sızdırma ve gerektiğinde yıkıcı wiper/destructionware konuşlandırma yer almaktadır. Symantec tarafından tespit edilen 'Amy Cherne' sertifikasıyla imzalanmış Dindoor ve Fakeset arka kapıları, grubun meşru yazılım imzalama sertifikalarını kötüye kullandığını ortaya koymaktadır; bu yöntem, EDR ve AV çözümlerinin imza tabanlı tespitini atlatmak için kullanılmaktadır. Kart özetinde belirtilen CHAR, GhostBackDoor, GhostFetch ve HTTP_VIP adlı dört yeni malware ailesinde GenAI destekli geliştirme izleri gözlemlenmesi, grubun araç geliştirme döngüsünü hızlandırma ve tespitten kaçınma kapasitesini artırma eğiliminde olduğuna işaret etmektedir. Genel operasyon şeması şu şekilde özetlenebilir: ``` [İlk Erişim] → Phishing / Güvenilir Sertifika ile İmzalı Arka Kapı [Kalıcılık] → Dindoor / Fakeset arka kapıları, servis kaydı [C2] → HTTP_VIP üzerinden şifreli geri bağlantı [Etki] → Veri sızdırma → Wiper / Destructionware (gerekirse) ```
Operasyonun doğrudan etki alanı META bölgesindeki kuruluşları kapsamakla birlikte, ABD'li bir bankanın da hedef alınması coğrafi kapsamın genişlediğini teyit etmektedir. Halcyon, UAE ve Bahreyn'deki AWS veri merkezlerine yönelik kinetik saldırıların bulut hizmetlerini sekteye uğrattığını ve bu ortamda birden fazla güvenlik sağlayıcısının etkilendiğini raporlamıştır. Finans, havacılık, savunma tedarik zinciri ve kamu kurumları grubun öncelikli hedef kategorileri arasında yer almaktadır. Türkiye'nin Operation Olalampo'da açıkça hedef olarak anılması, hem coğrafi yakınlık hem de bölgesel jeopolitik konumlanma açısından Kuveyt Türk gibi finansal kuruluşlar için somut bir risk faktörü oluşturmaktadır.
MuddyWater (aynı zamanda Seedworm, Mercury ve Static Kitten olarak da izlenmektedir), en az 2017'den bu yana ABD, İsrail ve müttefik ülkelerdeki kritik altyapıları hedef almaktadır. Grubun tarihsel kampanyaları arasında Boston Children's Hospital'a yönelik girişim, Arnavutluk hükümeti ağlarına 2022'de gerçekleştirilen yıkıcı saldırı ve çok sayıda ABD belediyesini etkileyen fidye yazılımı operasyonları sayılabilir. Mevcut operasyonda HydraC2 DDoS botneti, hacktivist grup Handala ve fidye yazılımı operatörü Sicarii ile TTP ve motivasyon örtüşmeleri gözlemlenmekte; bu durum İran'ın devlet destekli aktörler ile siber suç gruplarını aynı operasyonel ekosistemde bir arada kullandığı tezini güçlendirmektedir. Sicarii'nin Aralık 2025'te ortaya çıkması ve şifreleme sonrasında anahtarları silmesi (kalıcı veri kaybı), grubun yalnızca fidye geliri değil, operasyonel yıkım hedeflediğine işaret etmektedir.
Finans sektörü için risk değerlendirmesi özellikle kritik düzeydedir: MuddyWater'ın 2011-2013 yılları arasında ABD finans web sitelerini devre dışı bırakma geçmişi ve güncel kampanyada bir ABD bankasının hedef alınması, saldırı vektörlerinin müşteri veritabanlarını, SWIFT altyapısını ve çevrimiçi bankacılık platformlarını kapsayabileceğini göstermektedir. Türkiye'nin operasyonda açıkça hedef ülke olarak belirtilmesi ve Kuveyt Türk'ün hem Türkiye hem de Körfez coğrafyasında operasyonel varlığı göz önüne alındığında, kurumun bu operasyonun doğrudan risk alanı içinde değerlendirilmesi gerekmektedir. Savunma önceliklerinin hızla gözden geçirilmesi ve olay müdahale planlarının güncel tutulması tavsiye edilmektedir.