Uluslararası ilişkilerde “dostluk” kavramının siber dünyada geçerli olmadığı bir kez daha kanıtlandı. Çin devletine bağlı olduğu bilinen ve Judgment Panda, TA412 veya Violet Typhoon gibi isimlerle de anılan tehdit grubu APT31‘in, Rusya’nın BT sektörüne karşı yıllardır süren sofistike bir casusluk faaliyeti yürüttüğü ortaya çıktı.
Rus siber güvenlik firması Positive Technologies’in 20 Kasım 2025 tarihli raporuna göre, bu saldırılar 2022’nin sonlarında başladı ve 2024-2025 yıllarında zirveye ulaştı. Hedef ise sadece BT şirketleri değil, bu şirketlerin hizmet verdiği Rus devlet kurumlarıydı.
Bulut hizmetlerini silaha çevirmek
APT31’in bu kampanyadaki en dikkat çekici taktiği, Microsoft OneDrive, Dropbox ve hatta Rusya’nın kendi Yandex Bulut’u gibi meşru hizmetleri Komuta ve Kontrol (C2) merkezleri olarak kullanmasıydı. Saldırganlar, güvenlik duvarlarını aşmak ve “normal trafik” gibi görünmek için bu platformları ustaca manipüle etti.
Kullanılan bazı özel araçlar ve yöntemler şunlar:
- VtChatter: Belki de en yaratıcı yöntem. Bu zararlı yazılım, tehdit istihbarat platformu VirusTotal’in yorum sistemini gizli bir iletişim kanalı olarak kullanarak radar altında kalmayı başardı.
- OneDriveDoor ve CloudSorcerer: OneDrive ve diğer bulut depolama hizmetlerini arka kapı (backdoor) iletişimi için kullandı.
- Veri Kazıma Araçları: Tarayıcılardan şifre çalmanın ötesine geçen grup, kullanıcıların şifrelerini not aldığı Windows Yapışkan Notlar (Sticky Notes) uygulamasından bile veri kazıyan bileşenler geliştirdi.
Neden müttefikler birbirini hackler?
Çin ve Rusya siyasi arenada müttefik gibi görünse de, siber alandaki bu hamleler, güven eksikliğini ve teknolojik rekabeti gözler önüne seriyor. Deepwatch’tan kıdemli tehdit avcısı Certis Foster, bu durumu şöyle özetliyor:
“Rusya, Batı yaptırımları nedeniyle hala değerli havacılık, savunma ve nükleer teknolojilere sahip. Çin devlet şirketleri, rekabet avantajı için bu teknolojileri elde etmek ister. Yaptırımlar Rusya’nın teknoloji seçeneklerini sınırlarken, Çin gölgelerde geliştirilen alternatifleri öğrenmek istiyor.”
Yani Çin, Rusya’nın BT yüklenicilerini hedef alarak, aslında sertleştirilmiş ve iyi korunan Rus hükümet ağlarına bir “arka kapı”dan girmeyi hedefliyor.
Sadece Rusya değil, küresel bir operasyon
Rapor, APT31’in aynı saldırı zincirini Peru’da da kullandığını ortaya koydu. Peru Dışişleri Bakanlığı’ndan gelmiş gibi görünen sahte belgelerle yapılan saldırılar, grubun sadece ticari değil, küresel ölçekte hükümet hedeflerine odaklandığının açık bir kanıtı.
Engellemek çok zor
Bugcrowd kurucusu Casey Ellis, meşru bulut hizmetlerinin bu şekilde kötüye kullanılmasını engellemenin neredeyse imkansız olduğunu belirtiyor. “Bu, kasıtlı tasarımın kasıtlı sömürüsüdür,” diyen Ellis, hizmeti tamamen kapatmak veya coğrafi engelleme yapmak dışında, bulut sağlayıcılarının yapabileceği çok az şey olduğunu vurguluyor.
Bu olay, siber casuslukta “dost” veya “düşman” ayrımının olmadığını ve en güvenilir görünen platformların bile (VirusTotal gibi) saldırı vektörüne dönüştürülebileceğini bir kez daha hatırlatıyor.
