07:47:16

Küresel Siber Saldırılar Milyonlarca Dolarlık Dev Veri Sızıntısını Ortaya Çıkardı

Güvenlik uzmanları, hükûmetleri hedef alan gelişmiş kötü amaçlı yazılımları ve 149 milyon çalınmış şifreyi ortaya çıkaran ayrı bir güvenlik ihlalini ifşa ederek, hem kuruluşlar hem de bireyler için acil endişeler yarattı…

Siber tehditlerin sürekli değişen doğasını ürpertici biçimde hatırlatan güvenlik araştırmacıları, hem devlet kurumlarının hem de sıradan internet kullanıcılarının savunmasızlığını gözler önüne seren iki büyük olay nedeniyle alarm verdi. 28 Ocak 2026’da ortaya çıkan iki ayrı soruşturma, HoneyMyte adlı tehdit grubunun siber casusluk kampanyasının giderek daha karmaşık hâle geldiğini ve aynı zamanda 149 milyon çevrimiçi hesabın giriş bilgilerini içeren devasa bir veritabanı sızıntısının keşfedildiğini ortaya koydu.

Siber güvenlik çevrelerinde Mustang Panda veya Bronze President olarak da bilinen HoneyMyte kolektifi, uzun süredir dijital savaş alanında gölgeler arasında faaliyet gösteren bir aktör olarak tanınıyor. Securelist’in değerlendirmelerine göre grubun faaliyetleri son dönemde özellikle Asya ve Avrupa’daki devlet kurumlarına yoğunlaşmış durumda. En son kampanya ise başta Güneydoğu Asya olmak üzere, devlet kurumlarını hedef alan ve yeni nesil dijital silahlar kullanan aktif bir siber casusluk operasyonu niteliği taşıyor.

HoneyMyte saldırılarının merkezinde, 2025 yılında önemli bir güncellemeden geçen CoolClient arka kapı (backdoor) kötü amaçlı yazılımı yer alıyor. Bu güncelleme yüzeysel bir değişiklikten ibaret değil. Güvenlik analistlerine göre grup, CoolClient’e çok sayıda yeni yetenek ekleyerek, yüksek değerli hedeflerden hassas veri sızdırma ve bu verileri dışarı aktarma kapasitesini ciddi biçimde artırdı. Güncellenmiş CoolClient, tarayıcı oturum bilgisi hırsızları ve ele geçirilmiş ağlardan gizli belgeler ile sistem verilerini toplamak üzere tasarlanmış komut dosyalarını içeren daha geniş bir araç setinin parçası olarak çalışıyor.

Peki bu kötü amaçlı yazılım mevcut savunmaları nasıl aşıyor? Yanıt, DLL yan yükleme (DLL sideloading) adı verilen ve kötü amaçlı kodun varlığını gizlemek için meşru yazılımlardan yararlanan bir teknikte yatıyor. HoneyMyte, 2021–2025 yılları arasında BitDefender, VLC Media Player ve Sangfor gibi yaygın biçimde güvenilen uygulamaları istismar ederek, bu programlar üzerinden zararlı yazılımını sisteme sızdırdı. Securelist’in analizine göre bu çok aşamalı dağıtım yöntemi, siber güvenlik ekipleri için tespiti son derece zor bir yapı oluşturuyor. Kötü amaçlı yazılım yalnızca Güneydoğu Asya’da değil; Myanmar, Moğolistan, Malezya, Rusya ve Pakistan gibi ülkelerde de tespit edildi ve geniş kapsamlı, çok uluslu bir hedefleme stratejisini ortaya koydu.

HoneyMyte’ın cephaneliğindeki en rahatsız edici yeniliklerden biri ise tarayıcı kimlik bilgisi hırsızlığına yönelik araçlar oldu. Bu araçlar, her biri farklı tarayıcılara uyarlanmış en az üç varyanttan oluşuyor. A varyantı Google Chrome’u, B varyantı Microsoft Edge’i, C varyantı ise Brave ve Opera gibi Chromium tabanlı tarayıcıları hedef alıyor. Bu çeşitlilik, kullanıcının hangi tarayıcıyı tercih ettiğinden bağımsız olarak oturum açma bilgilerinin ciddi risk altında olduğu anlamına geliyor.

Süreç tehditkâr olduğu kadar metodik bir yapıya da sahip. Kötü amaçlı yazılım, tarayıcıların oturum açma veritabanlarını ve yapılandırma dosyalarını geçici klasörlere kopyalıyor. Ardından Windows’un kendi Veri Koruma API’sini (DPAPI) kullanarak saklanan parolaların şifresini çözüyor. Son aşamada ise kullanıcı adları ve parolalar dâhil olmak üzere eksiksiz oturum açma kayıtları yeniden oluşturuluyor ve saldırganların kontrolündeki sunuculara gönderilmek üzere gizli sistem klasörlerinde saklanıyor. Securelist, bu yaklaşımın yalnızca parola hırsızlığıyla sınırlı kalmadığını; tuş kaydedici (keylogger) ve pano izleme gibi ek özelliklerin, daha aktif ve derinlemesine bir gözetim anlayışına işaret ettiğini vurguluyor.

Bu tablo, özellikle siyasi açıdan hassas bölgelerde faaliyet gösteren devlet kurumları için son derece net bir mesaj içeriyor: sürekli teyakkuz şart. Securelist uzmanları, kurumlara tespit kapasitelerini güçlendirmeleri, CoolClient ve ilişkili zararlı yazılımların izlerini sürekli izlemeleri ve savunma mekanizmalarını güncel tutmaları çağrısında bulunuyor. Tehdit artık teorik değil; son derece somut ve operasyonel.

Ancak risk yalnızca devlet daireleri veya diplomatik misyonlarla sınırlı değil. Aynı gün, güvenlik araştırmacısı Jeremiah Fowler, ExpressVPN ile iş birliği içinde yürüttüğü çalışmada, sıradan internet kullanıcılarını doğrudan etkileyen çarpıcı bir keşfe imza attı. Fowler, 149 milyon çalınmış kullanıcı adı ve parola içeren, herkese açık bir veritabanı buldu. Etkilenen hesaplar arasında Gmail, Netflix, Yahoo ve X (eski adıyla Twitter) gibi küresel ölçekte yaygın kullanılan platformlar bulunuyor.

Bu veri ihlalini özellikle endişe verici kılan unsur, bilgilerin kaynağı oldu. GB News’e göre bu kullanıcı adı–şifre kombinasyonları, cihazları çoğu zaman farkında olmadan ele geçirilen sıradan kullanıcıların sistemlerinden, kötü amaçlı yazılımlar aracılığıyla çalındı. Veritabanının nasıl olup da herkese açık hâle geldiği ise belirsizliğini koruyor; bu ölçekte bir veri yığınının internete sızma biçimi hâlâ netlik kazanmış değil.

Bu ifşanın ardından güvenlik uzmanları, tüm kullanıcılara acil önlem çağrısında bulunuyor. Tavsiyeler basit ama hayati: şifrelerin derhal değiştirilmesi, aynı şifrenin birden fazla hesapta kesinlikle kullanılmaması ve mümkün olan her yerde ek güvenlik katmanlarının devreye alınması. Fowler ve ExpressVPN’in de vurguladığı gibi, şifre yöneticileri ve güvenlik araçları önemli bir destek sunsa da kişisel farkındalık ve dikkat hâlâ en kritik savunma hattı. Tek bir hesabın ele geçirilmesi ve aynı şifrenin başka platformlarda kullanılması, zincirleme bir hesap ihlali riskini beraberinde getiriyor.

Bu iki gelişmenin ortaya koyduğu tablo son derece çarpıcı. Bir tarafta HoneyMyte gibi devlet destekli olduğu düşünülen gruplar, hükümetlerin en üst kademelerini hedef alan sofistike siber silahlar geliştiriyor. Diğer tarafta ise milyonlarca sıradan kullanıcı, küresel siber çatışmanın görünmez ama en kırılgan tarafı hâline geliyor.

Siber güvenlik uzmanlarına göre bu durum, çok katmanlı savunma stratejilerinin artık bir tercih değil, zorunluluk olduğunu gösteriyor. Devlet kurumlarının gelişmiş tespit sistemlerine yatırım yapması, düzenli güvenlik denetimleri gerçekleştirmesi ve personelini güncel saldırı teknikleri konusunda eğitmesi gerekiyor. Bireyler açısından ise güçlü ve benzersiz parolalar kullanmak, iki faktörlü kimlik doğrulamayı etkinleştirmek ve şüpheli faaliyetlere karşı sürekli tetikte olmak temel bir dijital hijyen meselesi hâline gelmiş durumda.

Daha geniş çerçevede bakıldığında, HoneyMyte’ın yürüttüğü hedefli saldırılar, siber casusluğun modern devlet yönetiminin ayrılmaz bir parçası hâline geldiğini gösteriyor. Aynı zamanda, Fowler’ın ortaya çıkardığı veri sızıntısı gibi olaylar, dijital kimliklerin korunmasında hâlen ciddi yapısal zaaflar bulunduğunu ortaya koyuyor. İnternetin sunduğu kolaylıklar, giderek daha büyük ve karmaşık risklerle birlikte geliyor.

Sonuç olarak, HoneyMyte’ın süregelen kampanyaları ile 149 milyon hesabı etkileyen veri sızıntısı, aynı sorunun iki yüzü gibi duruyor. Her iki olay da siber güvenliğin yalnızca uzmanların değil, herkesin sorumluluğu olduğunu açık biçimde hatırlatıyor. Dijital dünya karmaşıklaştıkça, tehditlerin bir adım önünde kalmak artık ortak ve kaçınılmaz bir mücadele hâline geliyor.

Bu içeriği beğendiyseniz lütfen çevrenizle paylaşınız…