CTI Haftalık Rapor — 1 – 7 Haziran 2026

// YÖNETİCİ ÖZETİ

▸ HAFTALIK DEĞERLENDİRME

Bu haftanın en kritik gelişmesi, Google Mandiant'ın UNC3753 (Luna Moth / Silent Ransom Group) grubuna atfettiği, Ocak–Mayıs 2026 döneminde ABD'deki finans ve hukuk firmalarını hedef alan vishing kampanyasıdır. Tehdit aktörleri, sahte BT destek görüşmeleri ve ekran paylaşımı oturumları aracılığıyla kurumsal ağlara sızıyor; bazı vakalarda ilk temastan veri hırsızlığına geçen süre 1 saatin altına indi. Grup, USB ile fiziksel ofis sızması da dahil olmak üzere RMM araçlarını kötüye kullanarak hukuki sözleşmeler, KKB verileri ve finansal kayıtları çalıyor; ardından LEAKEDDATA platformunda yayımlama tehdidiyle kurumları fidye baskısına alıyor. Çin istihbarat grubu UNC5221'in Brickstorm arka kapısı ve yeni Plenet ile AgentPSD zararlılarıyla Microsoft 365 ortamlarına eriştiği de bu hafta raporlandı; bu gelişme, Orta Doğu ve Körfez bölgesindeki M365 kullanan finansal kurumlar için doğrudan risk taşımaktadır. Bu haftaya ait İran APT kaynaklı bölgesel bir kampanya tespit edilmedi; ancak editöryal öncelik listesinde 3. sırada yer alan bu tehdit vektörü için SOC ekiplerinin izleme kapsamını sürdürmesi önerilir.

Tedarik zinciri cephesinde TrapDoor kampanyası, npm, PyPI ve Crates.io ekosistemlerinde 34 zararlı paket ve 384 sürüm üzerinden SSH anahtarları, bulut kimlik bilgileri ve kripto cüzdan verilerini sızdırmaktadır; saldırının Cursor ve Claude gibi AI kodlama asistanlarını sıfır genişlikli Unicode karakterlerle manipüle etme kapasitesi, kurumsal geliştirme ortamları için yeni bir vektörü temsil etmektedir. Avrupa Merkez Bankası, Anthropic'in Mythos AI modelinin ortaya çıkardığı güvenlik açıklarının ardından Eurozone bankalarına acil tedbir zorunluluğu getirirken IMF, yapay zeka güdümlü siber risklerin finansal sistemi istikrarsızlaştırabileceği uyarısında bulundu. CISA bu hafta üç açığı KEV listesine aldı: SolarWinds Serv-U'yu etkileyen CVE-2026-28318 (CVSS 7.5) aktif istismar altında; Android 14/15/16 Framework'ü etkileyen CVE-2025-48595 (CVSS 7.8) hedefli saldırılarla karşı karşıya; Oracle WebLogic'i hedef alan CVE-2024-21182 (CVSS 9.8) ise finans sektöründe yaygın kullanılan orta katman sunucularında kritik risk oluşturuyor. SharePoint'i etkileyen CVE-2026-47294 (CVSS 8.0) henüz KEV'de yer almasa da banka intranet altyapıları için 48 saat içinde yama uygulanması önerilmektedir. Parola yöneticisi Dashlane'de gerçekleşen brute-force saldırısı 20'den az kullanıcıyı etkiledi; Google Mandiant GTIG'in 3 Haziran'da gerçekleştirilen işten çıkarmalar nedeniyle azalan araştırma kapasitesi ise gelecek haftalarda tehdit istihbarat çıktısını olumsuz etkileyebilir.

// HAFTALIK HABERLER

Vishing / Sosyal Müh.Finans & HukukLuna Moth / SRGRMM Kötüye Kullanım

UNC3753 Vishing: ABD Finans & Hukuk Firmalarına 1 Saatte Sızdı, Fiziksel Ofis Baskını da Var

Google Mandiant, UNC3753'ün (Luna Moth / Silent Ransom Group) Ocak–Mayıs 2026 döneminde ABD finans ve hukuk firmalarını sahte BT destek görüşmeleri ile hedef aldığını raporladı; saldırı bazı vakalarda ilk temastan veri hırsızlığına kadar 1 saatin altında tamamlandı. Tehdit aktörleri Zoom, Microsoft Teams ve Quick Assist gibi meşru araçları kötüye kullanarak hukuki sözleşmeler, KKB verileri ve finansal kayıtları çalıyor. Grup ayrıca USB depolama birimiyle doğrudan veri çalmak amacıyla BT teknisyeni kılığında fiziksel olarak ofislere girme taktiğini de uyguladı.

📅 5 Haz 2026 📰 Mandiant / Google GTIG 🎯 Finans & Hukuk Firmaları / Profesyonel Hizmetler

<1 Saat

Sızma Süresi

Finans / BankacılıkECB / IMF UyarısıAI Siber RiskAnthropic Mythos

ECB: Anthropic Mythos AI Açıkları Sonrası Eurozone Bankalarına Acil Tedbir Zorunluluğu

Avrupa Merkez Bankası, Anthropic'in Mythos AI modelinin bankalarda daha önce bilinmeyen güvenlik açıklarını gün yüzüne çıkarmasının ardından Eurozone genelindeki bankaları acil tedbir almaya zorladı; ECB Yönetim Kurulu üyesi Frank Elderson "hareketsizlik kabul edilemez" dedi. IMF de yapay zeka güdümlü siber risklerin doğru yönetilmezse finansal sistemi istikrarsızlaştırabileceği uyarısını yineledi. Mythos modeline henüz sınırlı erişim mevcut olsa da büyük bankaların paylaştığı bulgular, özellikle eski sistem kullanan küçük kurumları baskı altına almaktadır.

📅 2 Haz 2026 📰 World Economic Forum / Reuters 🎯 Eurozone Bankaları / Finansal Kurumlar

Acil

ECB Tedbir Düzeyi

Supply Chainnpm / PyPI / Crates.ioAI Prompt InjectionKripto Cüzdan Hırsızlığı

TrapDoor Tedarik Zinciri: npm/PyPI/Crates.io'da 34 Paket, 384 Sürüm, AI Asistanlarına Prompt Injection

TrapDoor kampanyası npm, PyPI ve Crates.io ekosistemlerinde 34 zararlı paket ve 384 sürüm yayımlayarak SSH anahtarları, bulut kimlik bilgileri, API tokenları ve kripto cüzdan verilerini GitHub Pages ile webhook.site üzerinden sızdırıyor. npm varyantı token-usage-tracker, kalıcılık ve yayılma mekanizmalarının yanı sıra .cursorrules ve CLAUDE.md dosyalarını zehirleyerek Cursor ve Claude gibi AI kodlama asistanlarını manipüle ediyor. Saldırı altyapısı meşru geliştirici trafiğine karışmak için güvenilir listedeki platformları kullanarak tespiti güçleştiriyor.

📅 1–2 Haz 2026 📰 Socket / GBHackers 🎯 Yazılım Geliştiriciler / CI/CD / Kripto & AI Ortamları

384

Zararlı Sürüm

Çin APTMicrosoft 365Brickstorm Arka KapısıGoogle GTIG

UNC5221 Çin APT: Brickstorm + Plenet + AgentPSD ile M365 Ortamlarına Erişti

Çin istihbarat grubu UNC5221'in bilinen Brickstorm arka kapısının yanı sıra daha önce belgelenmemiş Plenet ve AgentPSD zararlılarını kullanarak Microsoft 365 ortamlarına eriştiği ortaya çıktı. Google GTIG'in raporuna göre söz konusu grup küresel çaplı casusluk operasyonlarıyla bağlantılı; kaynaklara göre telekom ve kamu kurumları hedefler arasında yer alıyor ancak bu detay doğrudan BleepingComputer içeriğinde geçmiyor. Orta Doğu ve Körfez bölgesinde M365 kullanan finansal kurumlar bu kampanyadan doğrudan etkilenme riski taşımaktadır.

📅 4–5 Haz 2026 📰 BleepingComputer / Google GTIG 🎯 M365 Ortamları / Küresel Kurumlar

Yeni Zararlı Bileşen

Supply Chainnpm WormCI/CD Kimlik BilgisiKaynağa Dikkat

Miasma / Shai-Hulud npm Worm: @redhat-cloud-services Altında 30+ Paket, CI/CD Sırrı Çalındı

Kaynaklara göre Unit 42, @redhat-cloud-services namespace'i altındaki 30'dan fazla npm paketinin Shai-Hulud'un yeni varyantı Miasma worm'u ile ele geçirildiğini doğruladı; worm CI/CD tokenlarını ve GitHub kimlik bilgilerini çalarak yeni paketlere kendiliğinden yayılıyor. Bu haber için bağımsız kaynak doğrulaması tam olarak sağlanamadı; snippet ile fetch edilen raw içerik örtüşmüyor. TrapDoor kampanyasıyla eş zamanlı aktif olan bu vektör, kurumsal CI/CD boru hatları için ciddi risk oluşturmaktadır ve SOC ekiplerinin @redhat-cloud-services bağımlılıklarını acilen denetlemesi önerilir.

📅 2 Haz 2026 📰 BleepingComputer / Unit 42 (doğrulama kısmi) 🎯 npm / CI/CD Boru Hatları / GitHub Actions

30+

Ele Geçirilen Paket

Parola YöneticisiBrute-ForceŞifreli Kasa

Dashlane Brute-Force: 20'den Az Kullanıcının Şifreli Kasası İndirildi, Hesaplar Otomatik Kilitlendi

Parola yöneticisi Dashlane, platformunun brute-force saldırısına maruz kaldığını ve 20'den az kullanıcıya ait şifreli kasanın indirildiğini açıkladı. Bu bilgi yalnızca snippet'e dayanmakta olup SecurityWeek raw içeriğinde doğrulanamamıştır. Dashlane'in güvenlik sistemleri saldırı girişimlerini tespit ederek etkilenen hesapları otomatik olarak kilitledi; şifreli kasaların çözülme riski kullanılan ana parola güçlüğüne bağlıdır.

📅 2 Haz 2026 📰 SecurityWeek (snippet; raw doğrulaması yok) 🎯 Kurumsal Parola Yöneticisi Kullanıcıları

<20

Etkilenen Kasa

Tehdit İstihbaratıMandiant / GTIGSektör Etkisi

Google Mandiant GTIG'de İşten Çıkarmalar: 3 Haziran'da APT Araştırma Birimi Tasfiye Edildi

Google, 3 Haziran'da devlet destekli saldırıları izlemesiyle tanınan Threat Intelligence Group ve Mandiant kadrolarını kapsayan işten çıkarmalar gerçekleştirdi; şirket yatırımlarını AI altyapısına kaydırıyor. Etkilenen çalışan sayısı açıklanmadı; ancak bu durum gelecek haftalarda GTIG tehdit raporlarının sıklığı ve kapsamını doğrudan olumsuz etkileyebilir. Kuruluşlar tehdit istihbaratı kaynaklarını çeşitlendirmeli; tek sağlayıcıya bağımlılığı azaltmalıdır.

📅 3 Haz 2026 📰 OpenTools / Business Insider 🎯 Tehdit İstihbaratı Tüketicileri / CISO / SOC

3 Haz

Tasfiye Tarihi

// HAFTALIK ZAFİYETLER

CVE	CVSS	Ürün	Açıklama	Aksiyon
CVE-2026-28318 CISA KEV	7.5	SolarWinds Serv-U (tüm sürümler, 15.5.4 Hotfix-1 öncesi)	Kimlik doğrulama gerektirmeyen deflate POST isteğiyle kaynak tüketimi → servis çöküşü. Aktif istismar doğrulandı, CISA KEV'e alındı.	CISA KEV — Acil Yama SolarWinds Advisory ↗
CVE-2025-48595 CISA KEV	7.8	Android Framework (Android 14, 15, 16)	Framework katmanında integer overflow → yerel saldırgan kod yürütme ve ayrıcalık yükseltme. Hedefli aktif istismar altında, CISA KEV'e alındı.	CISA KEV — Güncelle Android Bulletin ↗
CVE-2024-21182 CISA KEV	Kritik	Oracle WebLogic Server (Fusion Middleware)	Kimlik doğrulama olmaksızın uzak saldırgana yetki kazandıran kritik açık. CISA KEV'e eklendi; finans sektöründe yaygın kullanılan orta-katman sunucusu.	CISA KEV — Acil Yama CISA KEV ↗
CVE-2026-47294	8.0	Microsoft Office SharePoint Server	Güvenilmeyen verinin deserializasyonu → kimlik doğrulamalı saldırgan ağ üzerinden uzaktan kod yürütme. Banka intranet ve doküman altyapılarında yaygın risk.	Yamayı Uygula Microsoft MSRC ↗

// TEHDİT SEVİYELERİ

UNC3753 Vishing

KRİ

ECB / Mythos AI

KRİ

TrapDoor Supply Chain

KRİ

UNC5221 M365 APT

YÜK

Miasma npm Worm

YÜK

Dashlane Brute-Force

ORT

GTIG İşten Çıkarma

BİL

// ACİL AKSİYONLAR

Anında
UNC3753: BT destek aramalarında MFA + yönetici onayı olmadan RMM kurulumunu engelleyin; Quick Assist / Teams ekran paylaşımını policy ile kısıtlayın.
Anında
SolarWinds Serv-U: CVE-2026-28318 için 15.5.4 Hotfix-1 yamasını uygulayın (CISA KEV, aktif istismar).
Anında
Android 14/15/16: CVE-2025-48595 için Haziran 2026 güvenlik yamasını dağıtın (CISA KEV, hedefli istismar).
Anında
Oracle WebLogic: CVE-2024-21182 (CVSS 9.8) için acil yama uygulayın; internet erişimini kısıtlayın (CISA KEV).
48 Saat
SharePoint: CVE-2026-47294 (CVSS 8.0) için 48 saat içinde SharePoint yamasını uygulayın; banka intranet altyapıları öncelikli.
48 Saat
TrapDoor: npm/PyPI/Crates.io bağımlılıklarını tarayın; ddjidd564[.]github[.]io ve webhook.site IoC'lerini SIEM'e ekleyin.
48 Saat
Miasma: @redhat-cloud-services namespace bağımlılıklarını denetleyin; CI/CD tokenlarını ve GitHub kimlik bilgilerini rotasyona alın.
Bu Hafta
ECB / Mythos: Kurum güvenlik açığı tarama programını gözden geçirin; eski sistem envanterini acil güncelleme kuyruğuna alın.
Bu Hafta
GTIG Kapasitesi: Tehdit istihbaratı beslemelerini çeşitlendirin; tek sağlayıcıya bağımlılığı azaltın.

// ACİL CVE'LER

YAMALA
CVE-2026-28318 — SolarWinds Serv-U · CVSS 7.5 · KEV ✓ · Aktif İstismar · DoS / Servis Çöküşü
YAMALA
CVE-2025-48595 — Android 14/15/16 · CVSS 7.8 · KEV ✓ · Hedefli İstismar · LPE / Kod Yürütme
YAMALA
CVE-2024-21182 — Oracle WebLogic · CVSS 9.8 · KEV ✓ · Finans Altyapısı · Kimlik Doğrulamasız RCE
48 SAAT
CVE-2026-47294 — SharePoint Server · CVSS 8.0 · KEV ✗ · Banka İntranet · Deserializasyon RCE

// KAYNAKLAR

Mandiant / Google GTIGUNC3753 Vishing Kampanyası
World Economic Forum / ReutersECB Mythos AI Uyarısı
Socket / GBHackersTrapDoor Supply Chain
BleepingComputer / Google GTIGUNC5221 Brickstorm / Plenet / AgentPSD
BleepingComputer / Unit 42Miasma / Shai-Hulud npm Worm
SecurityWeekDashlane Brute-Force
OpenTools / Business InsiderGoogle Mandiant GTIG İşten Çıkarmalar

UNC3753 Finans & Hukuk Firmalarına 1 Saatte Sızdı: TrapDoor 384 Paket, ECB'den Anthropic Mythos Kaynaklı Acil Uyarı

// YÖNETİCİ ÖZETİ

// HAFTALIK HABERLER

// HAFTALIK ZAFİYETLER

// 🎯 BİZDEKİ ETKİ — ENVANTER EŞLEŞMELERİ