Kurumsal ağlara sızıp bu erişimleri fidye yazılımı (Ransomware) çetelerine satmasıyla bilinen KongTuke, siber istihbarat raporlarına göre taktik değiştirdi. Daha önce "FileFix" ve "CrashFix" gibi sahte web oltalama yöntemleri kullanan grup, artık doğrudan kurumların can damarı olan işbirliği platformlarını hedef alıyor. ReliaQuest araştırmacılarının yayınladığı son bulgular, saldırganların soğuk temastan kalıcı erişime geçiş süresini sadece 5 dakikaya indirdiğini gösteriyor.
Nasıl Çalışır? Teams Üzerinden "IT Destek" Tuzağı
Nisan 2026'dan beri aktif olduğu tespit edilen bu yeni kampanya, son derece basit ama ölümcül bir sosyal mühendislik zinciri kullanıyor:
- Sızma ve Kimlik Bürüme: Saldırganlar, kurbanlara dışarıdan bir Microsoft Teams sohbeti başlatıyor. Görünen adlarını (Display Name) meşru bir "IT veya Help-Desk personeli" gibi göstermek için Unicode boşluk karakteri (whitespace) hileleri kullanıyorlar.
- Manipülasyon: Kurban, sahte bir teknik sorunu çözmesi gerektiğine ikna edilerek sistemine zararlı bir PowerShell komutu yapıştırmaya yönlendiriliyor.
- Enjeksiyon: Çalıştırılan PowerShell komutu, Dropbox üzerinden içinde "WinPython" ortamı bulunan taşınabilir bir ZIP arşivi indiriyor.
- Ele Geçirme: Python tabanlı ModeloRAT (Pmanager.py) zararlısı tetikleniyor. Saldırgan artık sistem bilgilerini toplayabiliyor, ekran görüntüsü alabiliyor ve dosya sızdırabiliyor.

*Gözlemlenen saldırılarda kullanılan PowerShell komutu. Kaynak: ReliaQuest*
Kişisel Not / Analiz:
Bir adli bilişim mühendisi adayı olarak bu vakada olay müdahale (Incident Response) süreçlerini en çok zorlayacak kısım, ModeloRAT'ın geçirdiği tehlikeli evrimdir. Saldırganlar sadece ağa sızmakla kalmıyor, standart temizlik prosedürlerini atlatmak için zırhlı bir mimari kuruyorlar:
- Dirençli C2 Mimarisi: Zararlı yazılım, bağlantının kopmasını engellemek için 5 farklı sunucu havuzu, otomatik yük devretme (failover) ve kendi kendini güncelleme yeteneğiyle çalışıyor.
- Üçlü Arka Kapı: Tek bir bağlantıya güvenmek yerine; birincil RAT, bir ters bağlantı (reverse shell) ve bir TCP arka kapısı birbirinden tamamen bağımsız altyapılarda çalıştırılıyor.
- Yok Edilemeyen Kalıcılık: Zararlı yazılım 'Run' anahtarları ve başlangıç kısayollarına ek olarak, "SYSTEM" yetkisiyle zamanlanmış görevler (Scheduled Tasks) oluşturuyor. Zararlının tespit edildiğinde devreye giren kendi kendini imha (self-destruct) rutini bile bu zamanlanmış görevi silmiyor. Sistem yeniden başlatılsa dahi tehdit hayatta kalıyor.
Çözüm ve Mitigasyon
KongTuke'nin bu taktiği, engellenen erişimleri aşmak için en az beş farklı Microsoft 365 kiracısı (tenant) arasında geçiş yapacak kadar esnek. Bu nedenle, reaktif kalmak yerine proaktif önlemler alınması şart:
- Teams Federasyonunu Kısıtlayın: Kurum dışından gelen Teams mesajları varsayılan olarak engellenmeli (Block), iletişim sadece güvenilir kurumların bulunduğu bir "Beyaz Liste" (Allowlist) üzerinden sağlanmalıdır.
- Anormal PowerShell ve Zamanlanmış Görevleri Avlayın: Blue Team analistleri ve SOC ekipleri, SIEM platformları üzerinden ModeloRAT'a ait güncel IoC'leri (Uzlaşma Göstergeleri) kullanarak, SYSTEM seviyesinde şüpheli zamanlanmış görev oluşturan PowerShell komutlarını acilen izole etmelidir.
Sosyal mühendislik ve gelişmiş kalıcılık mekanizmalarının entegre çalıştığı bu tür saldırılar, en büyük zafiyetin hala "insan" olduğunu doğruluyor.
