CTI Haftalık Rapor — 18

// YÖNETİCİ ÖZETİ

▸ HAFTALIK DEĞERLENDİRME

Bu hafta Kuveyt ve BAE için en kritik tehdit, DieNet ve Keymous+ hacktivist gruplarının Körfez bölgesindeki banka, telekom ve kritik altyapıya yönelik yapılandırılmış saldırı kampanyasıdır. UAE Siber Güvenlik Konseyi'nin kaynaklara göre doğruladığı günlük 600.000'i aşan saldırı girişimiyle birlikte bölge, Mayıs 2026'nın en yoğun siber baskısıyla karşı karşıyadır. İran bağlantılı MuddyWater / Seedworm APT grubu ise hem 'Operation Olalampo' kapsamında META bölgesini CHAR, GhostBackDoor, GhostFetch ve HTTP_VIP adlı dört yeni zararlı yazılım ailesiyle hedef alırken hem de ABD'deki bir banka, havalimanı ve yazılım şirketine ait ağlarda aktif olarak faaliyet sürdürmektedir. Tüm bu gelişmeler, İran-İsrail/ABD askeri çatışmasının siber alandaki yansımalarının Körfez finans sektörünü doğrudan tehdit ettiğine işaret etmektedir.

Tedarik zinciri cephesinde TeamPCP (UNC6780), Mini Shai-Hulud solucanıyla npm ve PyPI ekosistemlerinde 170'ten fazla paketi ele geçirdi; OpenAI ve Mistral AI iç ağlarına sızdı, ardından zararlı Nx Console VS Code eklentisi (v18.95.0) aracılığıyla GitHub'ın yaklaşık 3.800 iç deposunu çaldı. Finans sektörü açısından kritik bir diğer gelişme ise Kaspersky'nin 21 Mayıs'ta yayımladığı rapora göre Android bankacılık trojanı saldırılarının 2025'te %56 artması ve yeni kurulum paketi sayısının 255.090'a ulaşmasıdır — bu rakam ödeme uygulamaları ve mobil bankacılık çözümleri kullanan kurumlar için acil tedbir gerektirmektedir. Ek olarak CISA, bu hafta Microsoft Defender'ı etkileyen CVE-2026-41091 (CVSS 7.8, aktif istismar, son yama 3 Haziran 2026), Langflow CVE-2025-34291 ve Trend Micro Apex One CVE-2026-34926 dahil dört yeni açığı KEV kataloğuna ekledi.

// HAFTALIK HABERLER

Hacktivist DDoSKuveyt / BAEKritik Altyapıİran Bağlantılı

DieNet & Keymous+: Kuveyt/BAE Banka ve Hükümet Portallarına Günlük 600K+ Saldırı

DieNet ve Keymous+ grupları Kuveyt hükümet portalları, havalimanı, banka ve telekomünikasyon altyapısını günlük 600.000'i aşan saldırıyla hedef aldı; UAE Siber Güvenlik Konseyi bu rakamı kaynaklara göre doğruladı. Gruplar Kuveyt, Ürdün ve Suudi Arabistan'ı da 'günlük ziyaret' hedefi ilan etti. SOCRadar dashboard verilerine göre bölgede 15'ten fazla aktif tehdit aktörü, 1.075'ten fazla saldırı iddiasıyla faaliyet sürdürmektedir.

📅 19 May 2026 📰 SOCRadar 🎯 Kuveyt / BAE / Körfez Bankaları / Kritik Altyapı

600K+

Günlük Saldırı

İran APTMuddyWater / SeedwormMETA BölgesiGenAI Malware

MuddyWater 'Operation Olalampo': META Bölgesinde 4 Yeni Malware, ABD Bankası da Hedefler Arasında

Halcyon'un tespitine göre MuddyWater APT, Orta Doğu, Türkiye ve Afrika'yı hedef alan 'Operation Olalampo' operasyonunu yürütmektedir; CHAR, GhostBackDoor, GhostFetch ve HTTP_VIP adlı dört yeni zararlı yazılım ailesinde GenAI destekli geliştirme izleri gözlemlendi. Symantec/Security.com ise aynı grubun (Seedworm) Şubat 2026'dan bu yana bir ABD bankası, havalimanı ve savunma sektörüne hizmet veren yazılım şirketinin ağlarında aktif olduğunu doğruladı; 'Amy Cherne' sertifikasıyla imzalanmış Dindoor ve Fakeset arka kapıları tespit edildi. İran'ın ABD ve İsrail askeri operasyonlarına siber misilleme kapasitesinin yüksek tutulduğu değerlendiriliyor.

📅 19–20 May 2026 📰 Halcyon / Security.com / Symantec 🎯 Orta Doğu / Türkiye / Afrika / ABD Bankaları / Havalimanları

Yeni Malware Ailesi

Tedarik ZinciriTeamPCP / UNC6780VS Code EklentisiCI/CD Güvenliği

TeamPCP GitHub'u Hackledi: Zehirli Nx Console v18.95.0 ile 3.800 İç Repo Çalındı

TeamPCP (UNC6780), bir GitHub çalışanının yüklediği zararlı Nx Console VS Code eklentisi (v18.95.0) aracılığıyla GitHub'ın yaklaşık 3.800 iç deposuna sızdı; GitHub Actions, Copilot ve CodeQL kaynak kodları ele geçirildi. GitHub olayı doğruladı, kritik sırları rotasyona aldı ve zararlı eklenti sürümünü kaldırdı. Aikido Security araştırmacısı Charlie Eriksen, VS Code eklentilerinin geliştirici makinelerindeki kimlik bilgileri, bulut anahtarları ve SSH anahtarlarına tam erişim sağladığını vurguladı.

📅 20–21 May 2026 📰 Help Net Security / GitHub / Aikido Security 🎯 GitHub İç Altyapısı / CI/CD Ortamları / Geliştiriciler

3.800

Sızdırılan İç Repo

Tedarik ZinciriMini Shai-HuludCVE-2026-45321SLSA Bypass

Mini Shai-Hulud: 170+ npm/PyPI Paketi Ele Geçirildi, OpenAI ve Mistral AI İç Sistemleri İhlal Edildi

Tenable araştırmacılarının belgelediği Mini Shai-Hulud (4. nesil), npm ve PyPI ekosisteminde 170'ten fazla paketi ele geçiren kendi kendine yayılan bir solucan; CVE-2026-45321 (CVSS 9.6) ile TanStack Router'ı hedef alarak GitHub Actions OIDC token çalma ve SLSA Build Level 3 provenance kanıtlama sahteciği gerçekleştirdi. Kaynaklara göre OpenAI ve Mistral AI iç kaynak kod depolarından kimlik bilgileri sızdırıldı. Kampanya Eylül 2025'ten bu yana dört nesil boyunca evrilmekte olup her nesil savunma önlemlerine adapte olmaktadır.

📅 21 May 2026 📰 Tenable Blog 🎯 npm / PyPI / OpenAI / Mistral AI / CI/CD Ortamları

170+

Ele Geçirilen Paket

Mobil BankacılıkAndroid TrojanKaspersky RaporuFinans Sektörü

Kaspersky: Android Bankacılık Trojanı Saldırıları 2025'te %56 Arttı — 255.090 Yeni Paket

Kaspersky'nin 21 Mayıs 2026'da yayımladığı 'Mobile Malware Evolution Report', Android bankacılık trojanı saldırılarının 2025 yılında bir önceki yıla göre %56 arttığını ortaya koyuyor; yeni bankacılık trojanı kurulum paketi sayısı 255.090'a ulaşarak yıllık %271 büyüme kaydetti. Truva atları, mobil bankacılık uygulamaları, elektronik ödeme sistemleri ve kredi kartı verilerini çalmak için mesajlaşma uygulamaları ve kötü amaçlı web sayfaları üzerinden yayılıyor. Rapor ayrıca yeni satın alınan cihazlara fabrika çıkışında yerleştirilen arka kapıları yeni ve kritik bir saldırı vektörü olarak işaret etti.

📅 21 May 2026 📰 Kaspersky / The Asia Business Daily 🎯 Mobil Bankacılık Kullanıcıları / Ödeme Uygulamaları / Android Cihazlar

%271

Yıllık Paket Artışı

CISA KEVCVE-2026-41091Microsoft Defender LPESon Tarih: 3 Haz

Microsoft Defender CVE-2026-41091 (CVSS 7.8) KEV'de: SYSTEM Yetkisi Veren LPE Aktif İstismarda

CISA, 20 Mayıs 2026'da Microsoft Malware Protection Engine'deki 'link following' zafiyeti CVE-2026-41091 (CVSS 7.8) ve savunma körleştirici olarak kullanılan CVE-2026-45498 (CVSS 4.0 DoS) açıklarını KEV kataloğuna ekledi. CVE-2026-41091, yerel saldırganın SYSTEM ayrıcalığı kazanmasına olanak tanıyor; her iki açık da aktif saldırı zincirlerinde gözlemlendi. FCEB kurumları için yama son tarihi 3 Haziran 2026; Microsoft Antimalware Platform güncellemesi otomatik dağıtıma hazır.

📅 20–21 May 2026 📰 Help Net Security / CISA / Microsoft 🎯 Tüm Windows Uç Noktaları / Microsoft Defender Kullanan Kurumlar

3 Haz

FCEB Yama Son Tarihi

CISA KEVCVE-2025-34291 LangflowCVE-2026-34926 Apex OneAcil Yama

CISA KEV: Langflow CVE-2025-34291 ve Trend Micro Apex One CVE-2026-34926 Aktif İstismarla Katalogda

CISA, 21 Mayıs 2026'da Langflow AI Workflow Platform'daki CVE-2025-34291 (Kritik — CORS Origin doğrulama hatası ile keyfi kod yürütme riski) ve Trend Micro Apex One (On-Premise) CVE-2026-34926 (Kritik — dizin geçişi; kimliksiz saldırganın ajan kurulumlarına kötü amaçlı kod enjekte etmesine izin veriyor) açıklarını aktif istismar kanıtıyla KEV'e ekledi. Langflow, AI iş akışı platformu olarak finans sektörü otomasyon ortamlarında giderek yaygınlaşmaktadır. BOD 22-01 kapsamında FCEB kurumları için acil yamalama zorunlu.

📅 21 May 2026 📰 CISA 🎯 Langflow Kullanan Kurumlar / Trend Micro Apex One Uç Noktaları

Yeni KEV Girişi

HacktivistHandalaKörfez Enerjiİddia / Doğrulanmadı

Handala: Sharjah Ulusal Petrol ve Enerji Şirketlerinden 1,3 TB Veri Sızdırıldığı İddiası

İran bağlantılı Handala grubu, Sharjah National Oil Corporation ve Israel Opportunity Energy'ye sızarak 1,3 TB'ı aşan hassas veri (gizli finansal veriler, petrol sözleşmeleri, proje detayları) elde ettiğini iddia etti; Saudi Aramco'nun da hedef alındığı öne sürüldü. Ancak paylaşılan belgeler eski dosyalardan oluşuyor olabileceğinden iddianın kısmen abartıldığı değerlendiriliyor — bağımsız doğrulama henüz yapılmadı. Halcyon ve Symantec raporları Handala'nın bölgedeki hacktivist operasyonlarını yakından takip etmektedir.

📅 20 May 2026 📰 Security.com / Symantec 🎯 Körfez Enerji Şirketleri / Petrol Sektörü

1,3 TB

İddia Edilen Veri (Doğrulanmadı)

// HAFTALIK ZAFİYETLER

CVE	CVSS	Ürün	Açıklama	Aksiyon
CVE-2026-41091 Defender LPE → SYSTEM CISA KEV	7.8	Microsoft Defender / Malware Protection Engine < v1.1.26040.8	'Link following' zafiyeti; yerel saldırganın SYSTEM ayrıcalığına yükselmesine olanak tanır. 20 Mayıs 2026 itibarıyla aktif istismar altında, FCEB için son yama tarihi 3 Haziran 2026.	CISA KEV — Acil Yama Microsoft MSRC ↗
CVE-2026-45498 Defender DoS / Savunma Körleme CISA KEV	4.0	Microsoft Defender Antimalware Platform < v4.18.26040.7	Belirsiz DoS zafiyeti; istismar edildiğinde uç nokta koruma motorunu devre dışı bırakır. Saldırı zincirlerinde savunma körleştirici olarak aktif kullanımda, 20 Mayıs 2026'da KEV'e eklendi.	CISA KEV — Platform Güncelle Microsoft MSRC ↗
CVE-2025-34291 Langflow CORS + Token Hijack CISA KEV	Kritik	Langflow AI Workflow Platform < v1.9.3	Aşırı izin verici CORS + SameSite=None refresh token kombinasyonu; kötü amaçlı sayfa üzerinden çapraz kaynak kimlik bilgisi çalımı ve tam sistem ele geçirme dahil keyfi kod yürütmesine olanak tanır.	CISA KEV — v1.9.3'e Yükselt CISA Alert ↗
CVE-2026-34926 Apex One Directory Traversal CISA KEV	Kritik	Trend Micro Apex One (On-Premise)	Directory traversal zafiyeti; kimliksiz yerel saldırganın sunucudaki anahtar tablosunu değiştirerek ajan kurulumlarına kötü amaçlı kod enjekte etmesine izin verir. Aktif istismar kanıtıyla KEV'e eklendi.	CISA KEV — Acil Yama Trend Micro Advisory ↗
CVE-2026-45321 Mini Shai-Hulud / TeamPCP	9.6	TanStack Router npm (84 kötü amaçlı versiyon, 42 paket)	Mini Shai-Hulud kampanyası: GitHub Actions cache poisoning + OIDC token çalma zinciri; SLSA Build Level 3 kanıtlama sahteciği ile geliştirici ve bulut kimlik bilgisi hırsızlığına yol açar.	Paket Sürümünü Doğrula Tenable Blog ↗
CVE-2026-9082 Drupal Core SQLi / RCE CISA KEV	Kritik	Drupal Core (etkilenen sürümler için SA-CORE-2026-004)	Veritabanı soyutlama API'si üzerinden özel hazırlanmış isteklerle SQL enjeksiyonu; ayrıcalık yükseltme ve uzaktan kod yürütme potansiyeli. 22 Mayıs 2026'da KEV'e eklendi.	CISA KEV — Drupal Yamala Drupal Security Advisory ↗

// TEHDİT SEVİYELERİ

DieNet / Keymous+ DDoS

KRİ

MuddyWater APT

KRİ

TeamPCP / GitHub

KRİ

Mini Shai-Hulud

KRİ

Android Trojan %56↑

YÜK

MS Defender CVE KEV

YÜK

Langflow / Apex One KEV

YÜK

Handala Enerji İddiası

ORT

// ACİL AKSİYONLAR

Anında
DDoS korumasını artırın — Körfez bölgesindeki tüm banka/portal kaynak IP'lerini inceleyip DieNet/Keymous+ hedef listesiyle karşılaştırın
Anında
Microsoft Defender güncellemesi: Malware Protection Engine → v1.1.26040.8, Antimalware Platform → v4.18.26040.7 (CVE-2026-41091 / CVE-2026-45498, FCEB son tarihi 3 Haziran 2026)
Anında
VS Code eklenti envanterini denetleyin — Nx Console v18.95.0 dahil tüm eklenti sürümlerini doğrulayın; geliştirici makinelerindeki CI/CD kimlik bilgilerini ve GitHub tokenleri rotasyona alın
Anında
npm / PyPI bağımlılıklarını tarayın — Mini Shai-Hulud etkilenen 170+ paketi kontrol edin; SLSA kanıtlamasına güvenmeyin (CVE-2026-45321)
48 Saat
Langflow sürümünü v1.9.3'e yükseltin veya internetten izole edin (CVE-2025-34291, CISA KEV); Trend Micro Apex One On-Premise yamalarını uygulayın (CVE-2026-34926)
48 Saat
MuddyWater IoC'lerini (Dindoor, Fakeset arka kapıları; 'Amy Cherne' / 'Donald Gay' sertifikaları; Backblaze/Wasabi depolama bağlantıları) SIEM kurallarına ekleyin
1 Hafta
Mobil bankacılık uygulamaları için Android cihaz güvenlik politikasını gözden geçirin — ön yüklenmiş backdoor riski nedeniyle MDM firmware doğrulamasını etkinleştirin
1 Hafta
Drupal Core SA-CORE-2026-004 yamalarını uygulayın (CVE-2026-9082, CISA KEV, 22 Mayıs 2026)

// KAYNAKLAR

SOCRadarİran–İsrail Siber Çatışma Dashboard
Halcyon RRCOperation Olalampo / MuddyWater 2026
Security.com / SymantecSeedworm ABD Banka / Havalimanı Aktivitesi
Help Net SecurityTeamPCP GitHub İhlali / Nx Console
Tenable BlogMini Shai-Hulud FAQ / CVE-2026-45321
KasperskyMobile Malware Evolution Report 2025
Help Net SecurityMicrosoft Defender CVE-2026-41091 / CVE-2026-45498
CISAKEV: CVE-2025-34291 / CVE-2026-34926 (21 May 2026)

// SUPPLY CHAIN KRONOLOJİSİ

Eyl 2025
Shai-Hulud (1. nesil) — npm ekosisteminde ilk kendi kendine yayılan solucan
Kas 2025
SHA1-Hulud (2. nesil) — Wiper işlevi ve gelişmiş kimlik bilgisi toplama eklendi
Mar 2026
SANDWORM_MODE (3. nesil) — Adaptif CI/CD hedefleme, Aqua Trivy / CheckMarx KICS ihlalleri
Nis 2026
Mini Shai-Hulud (4. nesil) — SLSA BL3 sahteciği, OIDC token çalma, OpenAI/Mistral ihlali
19–21 May 2026
TeamPCP: Nx Console v18.95.0 → GitHub ihlali (3.800 iç repo)

// BU HAFTA AKTİF KEV'LER

CVSS 7.8
CVE-2026-41091 — Microsoft Defender LPE (SYSTEM) · Yama: 3 Haz 2026
CVSS 4.0
CVE-2026-45498 — Microsoft Defender DoS · Savunma körleştirici
KRİTİK
CVE-2025-34291 — Langflow CORS / Keyfi Kod Yürütme
KRİTİK
CVE-2026-34926 — Trend Micro Apex One Dizin Geçişi
KRİTİK
CVE-2026-9082 — Drupal Core SQL Enjeksiyonu · 22 May 2026

DieNet & MuddyWater Körfez'i Kuşatıyor: 600K+ Günlük Saldırı, GitHub 3.800 İç Repo Sızdırıldı, Android Trojan %56 Artış

// YÖNETİCİ ÖZETİ

// HAFTALIK HABERLER

// HAFTALIK ZAFİYETLER

// 🎯 BİZDEKİ ETKİ — ENVANTER EŞLEŞMELERİ

// 🛡️ BİZDEKİ DURUM — CVE NOTLARI