ARŞİV ▸ 23–29 Mar 2026
// SİBER TEHDİT İSTİHBARATI — HAFTALIK BÜLTENİ

Handala FBI Direktörü'nü Hackledi, TeamPCP 5 Ekosistemi Zehirledi, Citrix/F5 KEV'e Girdi

23 Mart – 29 Mart 2026  ·  Yayın: 31 Mart 2026  ·  TLP:WHITE

5Kritik Haber
4Aktif CVE
5Ekosistem (TeamPCP)
3CISA KEV
HABER
5
Kritik Olay
ZAFİYET
4
Aktif İstismar
SUPPLY CHAIN
5
Ekosistem
CISA KEV
3
Yeni Girdi

// YÖNETİCİ ÖZETİ

▸ HAFTALIK DEĞERLENDİRME

Bu hafta iki kritik tehdit hattı ön plana çıktı. TeamPCP, Mart 19'da Trivy'den başlayan tedarik zinciri kampanyasını 9 günde 5 ekosisteme — npm, Docker Hub, Checkmarx/OpenVSX, PyPI (LiteLLM ve Telnyx) — yayarak tarihte belgelenmiş en kapsamlı çok-ekosistemli supply chain saldırılarından birini gerçekleştirdi. 470+ etkilenen repo, 1.900+ bağımlı paket ve 95 milyon aylık indirmeli LiteLLM üzerinden AI altyapısına doğrudan ulaşıldı. WAV steganografisi ve ICP blockchain C2 ile TTP evrimini sürdüren grup, LAPSUS$ ve Vect RaaS ile ortaklık ilan ederek kimlik bilgilerini fidye operasyonlarına dönüştürdü.

İran bağlantılı Handala'nın FBI Direktörü Kash Patel'in kişisel Gmail hesabını ihlal ederek 300+ e-posta ve fotoğraf sızdırması, ABD'nin alan adı el koymaları ve $10M ödülüne karşın grubun operasyonel kapasitesini koruduğunu gösterdi. Lockheed Martin çalışan verileri de aynı grubu tarafından sızdırıldı. Ağ cephesinde Citrix NetScaler CVE-2026-3055 ve F5 BIG-IP CVE-2025-53521 kısa CISA KEV son tarihleriyle güncellik kazandı.

// HAFTALIK HABERLER

01
Supply ChainTeamPCPPyPI / npm / VSXAI Altyapısı
TeamPCP 9 Günde 5 Ekosistemi Zehirledi: Trivy→CanisterWorm→Checkmarx→LiteLLM→Telnyx
Trivy CI/CD ihlalinden elde edilen kimlik bilgileriyle başlayan kampanya; WAV steganografisi ve ICP blockchain C2 kullanarak npm, Docker, OpenVSX ve PyPI'yi vurdu. 470+ repo, 1.900+ bağımlı paket etkilendi. LAPSUS$ ve Vect RaaS ile ortaklık ilan edildi.
📅 19–27 Mar 2026📰 Datadog / SecurityWeek / Mend.io / ReversingLabs🎯 CI/CD / AI / Telecom
5
Ekosistem
02
İran / HandalaHack-and-LeakMOISABD Federal
Handala FBI Direktörü Kash Patel'in Kişisel E-postasını İhlal Etti — ABD $10M Ödül İlan Etti
FBI domain el koymasına misilleme olarak gerçekleşti. Patel 2010–2022 arası 300+ e-posta ve özel fotoğraflar sızdırıldı. FBI "tarihsel, devlet bilgisi yok" açıkladı. Lockheed Martin çalışanları da aynı hafta hedef alındı.
📅 27 Mar 2026📰 SecurityWeek / Reuters / NBC / Al Jazeera🎯 ABD Kurumları / Orta Doğu
300+
E-posta
03
CISA KEVAktif İstismarCitrix / F5ADC / VPN
Citrix NetScaler CVE-2026-3055 ve F5 BIG-IP CVE-2025-53521 — Her İkisi Aktif İstismar Altında ve CISA KEV'de
NetScaler SAML IDP yapılandırmalarında bellek sızıntısı; F5 BIG-IP APM DoS zafiyeti RCE olarak yeniden sınıflandırıldı. watchTowr bilinen tehdit aktörü IP'lerinden aktif keşif belgeledi.
📅 24–28 Mar 2026📰 CISA / Rapid7 / watchTowr / THN🎯 Ağ / VPN / ADC Altyapısı
9.3
CVSS
04
Kuzey KoreWaterPlumVS CodeGeliştirici
WaterPlum (DPRK) StoatWaffle Zararlı Yazılımını VS Code Auto-Run Görevleri ve Sahte GitHub Uyarılarıyla Dağıtıyor
Contagious Interview kampanyası yeni vektörle: zararlı VS Code projeleri otomatik görevlerle StoatWaffle kuruyor. Aynı hafta GitHub Discussions'da sahte güvenlik uyarılarıyla da geliştiriciler hedef alındı.
📅 23–25 Mar 2026📰 The Hacker News / BleepingComputer🎯 Yazılım Geliştiricileri
APT
DPRK
05
AI GüvenliğiChatGPTCheck PointPrompt Injection
Check Point: Backdoor'lu GPT Tek Kötü Amaçlı Prompt ile Kullanıcı Mesajları, Dosyaları ve Geçmişi Sızdırabilir
OpenAI 20 Şubat'ta yamayı yayımladı; kötüye kullanım kanıtı yok. Ancak kurumsal AI kullanımında prompt injection ile veri dışarı sızdırma yüzeyi gerçekten mevcut.
📅 28 Mar 2026📰 Check Point / The Hacker News🎯 Kurumsal AI / Finans Sektörü
AI
Risk

// HAFTALIK ZAFİYETLER

CVECVSSÜrünAçıklamaYama
CVE-2026-3055
CISA KEV		 9.3 Citrix NetScaler ADC & Gateway SAML IDP yapılandırmalarında bellek okuma (memory overread) → NSC_TASS cookie üzerinden hassas veri sızıntısı. 27 Mart'ta bilinen tehdit aktörü IP'lerinden aktif keşif başladı. Metasploit modülü mevcut.
Son: 2 Nis 2026
Citrix ↗
CVE-2025-53521
CISA KEV		 9.3 F5 BIG-IP APM DoS olarak sınıflandırılmış zafiyet Mart 2026'da kimliksiz RCE olarak yeniden sınıflandırıldı. APM access policy yapılandırmalı sanal sunucularda özel trafik ile RCE. Aktif istismar teyit edildi.
Son: 30 Mar 2026
F5 ↗
CVE-2026-33634
CISA KEV		 9.4 Aqua Security Trivy GitHub Actions TeamPCP tarafından eklenen zararlı kod (CWE-506) — CI/CD ortamlarında SSH, AWS, Kubernetes token'larını çalıyor. 470+ repo, 1.900+ bağımlı paket. CISA son tarihi 9 Nisan.
Son: 9 Nis 2026
GitHub ↗
CVE-2025-32975
 10.0 Quest KACE SMA Maksimum kritiklik — kimliksiz uzaktan kod yürütme. Arctic Wolf, 9 Mart haftasından itibaren aktif istismarı gözlemledi. İnternet erişimli yamasız KACE sistemleri acil risk altında.
Acil Yama
Arctic Wolf ↗