Siber İstihbarat

MuddyWater: İran'ın MOIS Bağlantılı Siber Casusluk Grubu

İran İstihbarat ve Güvenlik Bakanlığı'na bağlı olduğu değerlendirilen MuddyWater, Türkiye dahil onlarca ülkedeki hükümet kurumları, araştırma kuruluşları ve kritik altyapı sektörlerini hedef alan siber casusluk operasyonları yürütmektedir. Bu yazı grubun kimliğini, saldırı yöntemlerini ve Türkiye'nin neden hedef kapsamında yer aldığını jeopolitik bir perspektifle ele almaktadır.

MuddyWater: İran'ın MOIS Bağlantılı Siber Casusluk Grubu

Giriş

MuddyWater, İran İstihbarat ve Güvenlik Bakanlığı'na (MOIS) bağlı olduğu değerlendirilen devlet destekli bir siber casusluk grubudur. En az 2017'den bu yana aktif olan grup; hükümet kurumları, telekomünikasyon şirketleri, savunma sanayii ve enerji sektörlerine yönelik operasyonlar yürütmektedir. Earth Vetala, MERCURY, Static Kitten, Seedworm ve Mango Sandstorm takma adlarıyla da izlenmektedir.

FBI, CISA, ABD Siber Komutanlığı ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi Şubat 2022'de yayımladıkları ortak belgede grubu resmi olarak MOIS bünyesinde değerlendirmiştir.

Kimler Hedef Alınıyor?

Grubun hedef haritası Orta Doğu, Güney Asya, Avrupa ve Kuzey Amerika'yı kapsamaktadır. Belgelenmiş sektörler arasında devlet kurumları, telekomünikasyon, savunma, enerji ve sağlık yer almaktadır.

2025 sonunda yayımlanan bir rapora göre son kampanyada hedeflerin dörtte üçünden fazlası büyükelçilikler, diplomatik misyonlar ve dışişleri bakanlıklarından oluşmaktaydı. Bu dağılım, grubun odak noktasının teknik altyapı erişiminin yanı sıra diplomatik iletişim kanallarını da kapsadığına işaret etmektedir.

Nasıl Çalışıyor?

Hedefli kimlik avı (spear phishing)

Grup, ağlara ilk erişimi ağırlıklı olarak hedefli kimlik avı yoluyla sağlamaktadır. Başlangıçta belirli kişilere özelleştirilmiş e-postalar gönderilirken, 2024 itibarıyla webinar daveti ve çevrimiçi kurs bildirimi gibi genel temalar benimsendi. Bu değişiklik, aynı kurgunun farklı hedeflere ve coğrafyalara tekrar uygulanmasına olanak tanımaktadır.

Meşru araçların kötüye kullanımı

MuddyWater; Atera, AnyDesk, SimpleHelp ve Syncro gibi ticari uzaktan yönetim yazılımlarını erişim aracı olarak kullanmaktadır. Meşru yazılımların bu şekilde kullanımı, imza tabanlı güvenlik sistemlerinin tespitini güçleştirmektedir. 2024'te grup bu araçlara olan bağımlılığını azaltarak BugSleep adlı özel zararlı yazılıma geçiş yaptı. Bu geçiş, tespit ve atıf mekanizmalarına karşı operasyonel uyum sağlama çabası olarak değerlendirilmektedir.

Jeopolitik Çerçeve: Türkiye Neden Hedef?

İran'ın siber stratejisi içindeki yeri

İran'ın devlet destekli siber operasyonları üç temel hedefe hizmet etmektedir: ulusal güvenliğin korunması, bölgesel nüfuzun sürdürülmesi ve yaptırım rejimine karşı istihbarat üretimi. MuddyWater bu üç hedefe de katkı sağlayan operasyonlar yürütmektedir. Siber casusluk bu çerçevede doğrudan askeri ya da diplomatik eylem gerektirmeyen, görece düşük maliyetli bir istihbarat aracı işlevi görmektedir.

Türkiye özelinde olası gerekçeler

Türkiye-İran ilişkisi, enerji ve ticaret alanında iş birliği ile Suriye, Irak ve Azerbaycan gibi coğrafyalarda rekabeti bir arada barındırmaktadır. Bu ikili yapı, Ankara'yı Tahran açısından hem müzakere ortağı hem de yakından izlenmesi gereken bir aktör konumuna taşımaktadır.

Türkiye'nin NATO üyeliği, ittifak içi istihbarat paylaşım mekanizmalarına katılım anlamına gelmektedir; bu da Türk devlet kurumlarını potansiyel dolaylı istihbarat kaynağı olarak değerli kılmaktadır. Öte yandan bölgesel sürtüşmeler somut gerilim noktaları üretmiştir: Aralık 2024'te Esad rejiminin çöküşünün ardından iki ülke arasında gergin bir diplomatik süreç yaşandı; 2025 başında ise Türkiye'nin kuzey Irak'taki askeri varlığını artırması karşılıklı büyükelçi çağrılarına yol açtı. Birden fazla araştırmacı grubu, İranlı siber operasyonların siyasi gerilim dönemlerinde artış gösterdiğini gözlemlemiştir; bu örüntü Türkiye vakasıyla tutarlıdır.

Hedef seçimi bu tabloyu doğrular niteliktedir. Cisco Talos, MuddyWater'ın TÜBİTAK dahil Türk devlet araştırma kurumlarını hedef aldığını tespit etmiştir. Aynı kampanyada grubun Türk Sağlık ve İçişleri Bakanlıklarının kimliğini taklit ederek kimlik avı e-postaları gönderdiği de belgelenmiştir.

Savunma Önerileri

Kimlik avına dayanıklı çok faktörlü kimlik doğrulamanın dış hizmetlerde zorunlu kılınması, kimlik doğrulama günlüklerinin düzenli izlenmesi ve ağ içi anormal uzaktan yönetim aracı kullanımının tespiti teknik önlemler arasında öne çıkmaktadır.

Kurumsal farkındalık açısından en kritik nokta spear phishing'dir. Beklenmedik webinar daveti, gömülü bağlantı içeren PDF eki veya yetkili kurum kimliğiyle gelen acil güncelleme talebi, grubun belgelenmiş erişim yöntemleri arasındadır.

Sonuç

MuddyWater, yıllar içinde değişen araç seti ve genişleyen hedef coğrafyasıyla aktif bir tehdit unsuru olmayı sürdürmektedir. Grubun operasyonları salt teknik bir siber güvenlik meselesi olarak değil, İran'ın daha geniş dış politika hedefleriyle bağlantılı bir istihbarat faaliyeti olarak değerlendirilmektedir. Türkiye özelinde NATO üyeliği, bölgesel rekabet dinamikleri ve devlet kurumlarının doğrudan hedef alınması bu konumlandırmayı sürdürmektedir.

Kaynaklar: CISA AA22-055a · MITRE ATT&CK G0069 · Cisco Talos · HarfangLab · Group-IB · Trellix · Sekoia · Rapid7

Author

AltaySec Medya

Siber güvenlik operasyonları ve Red Team kültürü içerisinde bilgi yönetimi yapan çekirdek yayın ekibi. #OffensiveKnowledge