Çin bağlantılı olduğu değerlendirilen FamousSparrow (UAT-9244) APT grubu, Azerbaycan'daki bir petrol ve doğalgaz şirketini hedef alan çok dalgalı bir saldırı kampanyasıyla gündeme geldi. Bitdefender'ın bugün yayımladığı rapora göre saldırı Aralık 2025 sonu ile Şubat 2026 sonu arasında üç ayrı dalga halinde gerçekleşti.
Nasıl Gerçekleşti?
İlk izler 25 Aralık 2025'e dayanıyor: saldırganlar, Microsoft Exchange sunucusunu ProxyNotShell açığı üzerinden istismar ederek kamuya açık bir dizine kötü amaçlı bir web shell yerleştirdi.
Dikkat çekici olan nokta, kurumun birden fazla kez yamayı denemesine rağmen saldırganların aynı giriş noktasına geri döndüğü. Her dalgada farklı bir backdoor devreye sokuldu: 25 Aralık'ta Deed RAT, Ocak-Şubat başında TernDoor, Şubat sonunda ise modifiye edilmiş bir Deed RAT versiyonu.
Grubun kullandığı DLL sideloading tekniği bazı savunma mekanizmalarını atlatacak şekilde evrilmişti. Operasyonel teknoloji (OT) ağları bu saldırıdan etkilenmedi.
Neden Azerbaycan, Neden Şimdi?
Bu saldırıyı sıradan bir APT vakasından ayıran şey zamanlaması ve hedefin taşıdığı stratejik ağırlık.
28 Şubat 2026'da Hürmüz Boğazı'nın kapanmasının ardından Katar'ın üretimi durdurması ve Avrupa doğalgaz vadeli işlem fiyatlarının ilk haftada yaklaşık yüzde 30 artmasıyla birlikte Güney Gaz Koridoru, Avrupa Birliği'ne Rus gazı ya da Körfez gazı dışında kara yoluyla doğalgaz ulaştıran tek büyük güzergah haline geldi. Koridorun merkezinde Azerbaycan var; saldırıya uğrayan şirket de bu kritik tedarik zincirinin bir parçası.
TANAP (Trans-Anadolu Doğalgaz Boru Hattı) bu koridorun Türkiye ayağını oluşturuyor. Azerbaycan'ın Şahdeniz sahasından çıkan gazı Türkiye üzerinden Avrupa'ya taşıyan hat, Türkiye'nin ikinci büyük gaz tedarikçisi konumundaki Azerbaycan ile enerji ilişkisinin omurgası niteliğinde.
TANAP'ın 2026 hedefi yılda 31 milyar metreküp kapasiteye ulaşmak. Güzergah boyunca Türkiye topraklarından geçen her molekül gazın Avrupa'ya ulaşması Ankara'ya hem koz hem kırılganlık kazandırıyor.
Bu tablo saldırıya jeopolitik bir boyut katıyor. Azerbaycan'daki bir petrol ve gaz şirketine sızan bir aktör, salt ticari istihbarat edinmekle kalmıyor; Avrupa'nın enerji tedarik kapasitesine, Türkiye'nin boru hattı operasyonlarına ve bölgenin kritik altyapı güvenilirliğine ilişkin stratejik bilgiye de erişiyor.
Bitdefender, Azerbaycan'ın FamousSparrow'un bilinen hedef haritasında yeni bir nokta olduğunu vurguluyor. Bu genişleme tesadüf değil: Hürmüz krizi, Güney Kafkasya'nın enerji güvenliğindeki ağırlığını kısa sürede artırdı ve bölge siber casusluk açısından daha değerli bir hedef haline geldi.
Türkiye Açısından Ne Anlama Geliyor?
TANAP, Türkiye'nin 20 ili ve 67 ilçesinden geçiyor. BOTAŞ'ın yüzde 30 hissedar olduğu hatta Azerbaycan gazının kesintisiz akması hem Türkiye'nin iç tüketimi hem de transit geliri açısından kritik önem taşıyor.
Bir Azerbaycan enerji şirketinin operasyonel sistemlerine erişim kazanan bir aktör, teorik olarak üretim planlamasına, kapasite verilerine ve tedarik zinciri bilgilerine ulaşabilir. Bu veriler doğrudan piyasa manipülasyonuna, müzakere avantajına ya da kritik altyapıya yönelik daha ileri operasyonların planlanmasına zemin hazırlayabilir.
Saldırının Türkiye'ye doğrudan bir etkisi henüz raporlanmış değil. Ancak TANAP üzerinden kurulan enerji bağımlılığı, Azerbaycan enerji altyapısına yönelik her siber operasyonun dolaylı olarak Türkiye'nin enerji güvenlik denklemini de etkilediğini gösteriyor.
Çıkarımlar
Bitdefender'ın raporu kritik bir operasyonel dersi de kayıt altına alıyor: saldırganlar, orijinal açık yamalanmadığı, ele geçirilmiş kimlik bilgileri rotasyona alınmadığı ve geri dönüş kapasitesi tamamen engellenmediği sürece aynı erişim noktasını tekrar tekrar kullanmaya devam ediyor.
Bu vaka, Güney Kafkasya enerji altyapısına yönelik Çin kaynaklı APT faaliyetinin genişlediğini belgeleyen ilk raporlardan biri olma özelliği taşıyor. Enerji güvenliğinin siber güvenlikle bu denli iç içe geçtiği bir dönemde altyapı bağımlılıklarını ve saldırı yüzeylerini birlikte değerlendirmek giderek daha kritik bir hal alıyor.
