📅 9 Haz 2026 · 📰 Security.com (Broadcom/Symantec) · 🎯 ABD Bankası, Havalimanı, NGO, Savunma Tedarikçisi (İsrail) · TLP:WHITE
İran İstihbarat ve Güvenlik Bakanlığı (MOIS) ile ilişkilendirilen Seedworm (diğer adıyla MuddyWater) tehdit grubu, Şubat 2026'dan itibaren yürütülen bir kampanyada ABD'de faaliyet gösteren bir banka, bir havalimanı, Kanada ve ABD merkezli kar amacı gütmeyen kuruluşlar ile İsrail'de ofisi bulunan bir savunma/havacılık yazılım tedarikçisini hedef almıştır. SOCRadar'ın İran–İsrail siber çatışma takip panelinden elde edilen bulgulara göre kampanya, Dindoor ve Fakeset adlı iki farklı backdoor aracılığıyla sürdürülmektedir. Grup, finans ve kritik altyapı sektörlerini eş zamanlı hedeflemesiyle dikkat çekmektedir; bu durum saldırıların yalnızca istihbarat toplama değil, potansiyel olarak kesinti yaratma kapasitesini de barındırdığına işaret etmektedir.
Teknik açıdan kampanya iki ayrı implant üzerine inşa edilmiştir. Dindoor backdoor'u, Go çalışma zamanı temelli Dino çerçevesi üzerine geliştirilmiş olup 'Amy Cherne' adına düzenlenmiş dijital sertifikayla imzalanmıştır; bu yaklaşım, uç nokta güvenlik ürünlerinin imza tabanlı denetimlerini atlatmaya yönelik kasıtlı bir teknik seçim olarak değerlendirilebilir. Python tabanlı Fakeset ise meşru bulut depolama hizmeti Backblaze üzerinden dağıtılmaktadır; böylece komuta-kontrol (C2) trafiği, kurumsal ağlarda genellikle izin verilen bulut servisi trafiğiyle karışmakta ve tespiti güçleşmektedir. Veri sızdırma aşamasında ise açık kaynaklı Rclone aracının kullanıldığı tespit edilmiştir; saldırganlar Rclone'u olası bir şekilde bulut depolama hesaplarına yönlendirme için yapılandırmıştır.
Etkilenen kurum profili coğrafi ve sektörel açıdan geniş bir yelpazeye yayılmaktadır: ABD'de bir finans kurumu ve bir havalimanı operatörü, Kanada ve ABD'de sivil toplum kuruluşları ile İsrail operasyonları bulunan bir savunma/havacılık yazılım tedarikçisi hedef alınmıştır. Havalimanı ve banka altyapısının eş zamanlı hedeflenmesi, grubun kritik ulusal altyapı (CNI) sistemlerine olan ilgisini doğrulamaktadır. Kampanyanın Şubat 2026 itibarıyla aktif olduğu bilinmekte; SOCRadar panosundaki olay zaman çizelgesi verileri Nisan 2026'ya kadar sürdürülmektedir.
Seedworm/MuddyWater, geçmiş kampanyalarında da meşru uzaktan yönetim araçlarını (RMM) ve bulut tabanlı servisleri C2 altyapısı olarak kötüye kullanan bir tehdit aktörüdür. Gözlemlenen TTP'ler — imzalı payload, bulut depolama üzerinden dağıtım, Rclone ile veri hırsızlığı — grubun 'living-off-the-land' (LoTL) ve 'living-off-trusted-sites' (LoTS) yaklaşımlarına uyum sağladığını göstermektedir. Bu teknikler, geleneksel ağ tabanlı anomali tespitini önemli ölçüde zorlaştırmaktadır; mavi takımların davranışsal analiz ve bulut servis trafik anomalisi tespitine odaklanması gerekmektedir.
Kuveyt Türk ve bölgedeki diğer finans kurumları açısından değerlendirildiğinde, MOIS bağlantılı grupların daha önce Körfez bölgesindeki finans altyapısını da hedef aldığı bilinmektedir. IRGC'nin Nisan 2026'da JPMorgan da dahil olmak üzere 18 ABD teknoloji ve finans şirketini 'meşru hedef' olarak ilan etmesi, söz konusu tehdit ortamının doğrudan bölgesel finans sektörünü kapsadığını ortaya koymaktadır. Bulut depolama (özellikle Backblaze) ve imzalı Go/Python implantlarına yönelik tespit kapasitesinin acilen güçlendirilmesi öncelikli aksiyon kalemi olarak değerlendirilmelidir.