Bir e-posta beni şu anın en büyük KİŞİ AÇMA kampanyalarından birini araştırmaya yönlendirdi!

Bir e-posta beni şu anın en büyük KİŞİ AÇMA kampanyalarından birini araştırmaya yönlendirdi!

05/02/2026

Yazar: Juan Mathews Rebello Santos

1. YÖNETİCİ ÖZETİ

Bu teknik rapor, iddia edilen bir ödül bildirimi ve bekleyen mali depozitoyu içeren sahte bir e-postanın alınması üzerine tarafımdan yürütülen adli soruşturmayı belgelemektedir. Analiz, uluslararası ölçekte kimlik avı, korkutma yazılımı ve bağlı kuruluş dolandırıcılığı kampanyaları yürüten gelişmiş bir siber suç altyapısının varlığını ortaya çıkardı.

Araştırma sırasında aşağıdakilerden oluşan bir yönlendirme zinciri belirledim:

  • sosyal mühendislik içeren elektronik spam;
  • Cloudflare Pages altyapısının kötüye kullanılması;
  • Demokratik Kongo Cumhuriyeti'ndeki hükümet çalışanlarının bağlılığı;
  • Komuta ve Kontrol altyapısı (C2);
  • Etki Alanı Oluşturma Algoritmasının (DGA) kullanımı;
  • Wildcard SSL sertifikaları;
  • ve Impact Radius aracılığıyla Norton/Gen Digital ortaklık programları aracılığıyla para kazanma.

Operasyon, yüksek düzeyde teknik profesyonellik, analizden kaçınma ve kötü niyetli kampanyaların otomasyonunu gösteriyor.

2. ARAŞTIRMANIN KÖKENİ

Soruşturma, şu adrese gönderilen açıkça sahte bir e-posta aldıktan sonra başladı:

```metin [email protected] ''''

Mesajın konusu şuydu:

```metin Ödül Kodu ''''

E-postanın içeriği, Arapça metinleri, anti-spam filtrelerini engellemek ve meşruiyet görünümünü artırmak için kullanılan bir strateji olan finansal aciliyet mesajlarıyla karıştırıyordu.

Tanımlanan alıntı:

```metin شكراً على مشاركتك في المسابقة يرجى الاحتفاظ بالكود للمراجعة عند السحب ''''

Yaklaşık çeviri:

```metin "Yarışmaya katıldığınız için teşekkür ederiz. Lütfen çekiliş sırasında doğrulama için kodu saklayın.” ''''

Mesajda ayrıca sözde bir promosyon kodu da yer alıyordu:

```metin Kod: 9132289937520370 ''''

Ancak e-postanın asıl amacı, kullanıcıyı mesajın ortasına eklenen kötü amaçlı bir bağlantıya tıklaması için kandırmaktı:

```metin ⚠️ Acil: 3.639,00$'lık depozitonuz beklemede. Şimdi onaylayın: https://obs.regideso.cd/?8nqrpm ''''

İçerik ayrıca kişiselleştirme ve meşruiyet duygusu eklemek için e-posta adresimi de gösteriyordu:

```metin [email protected] ''''

Analiz, e-postanın aşağıdakileri birleştirmek için tasarlandığını gösterdi:

  • sahte ödüller;
  • mali aciliyet;
  • yabancı dil;
  • sosyal mühendislik;
  • ve dolandırıcılığın kısmen gizlenmesi.

Amaç kurbanı hemen tıklamaya ikna etmekti.

3. KÖTÜ YÖNLENDİRME ZİNCİRİ

Bağlantıya erişirken:

```metin https://obs.regideso.cd/?8nqrpm ''''

Operasyon içerisinde domainin sadece ara aktarıcı olarak görev yaptığını tespit ettim.

Soruşturma sırasında gözlemlenen akışın tamamı şöyleydi:

```metin E-posta Spamı ↓ obs.regideso.cd ↓ keten-iskele-nehir.pages.dev ↓ yandehyto.com'un rastgele alt alan adları ↓ Korkutucu yazılım/kimlik avı uç alanları ''''

Belirlenen nihai varış noktaları arasında şunlar vardı:

  • pelnoriva.shop *baleiddiste.com
  • phidatharacce.com

Bu mimari, izlemeyi, otomatik engellemeyi ve adli analizi zorlaştıran profesyonel bir altyapı gizleme zinciri sergiliyor.

4. KABUL EDİLEN RÖLE ANALİZİ

Alan adı:

```metin obs.regideso.cd ''''

IP'ye çözüldü:

```metin 161.35.30.54 ''''

DigitalOcean altyapısında barındırılıyor.

Varlığın Demokratik Kongo Cumhuriyeti'nin kamu su tedarik şirketine ait olduğu ortaya çıktı:

  • REGIDESO SA

Web ortamının analizi sırasında şunu belirledim:

  • yetkisiz PHP dosyaları;
  • yeniden yönlendirici görevi gören komut dosyaları;
  • Laravel ortamına maruz kalma;
  • Hata ayıklama modunda çalışan arka uç.

Gözlemlenen dosyalar:

  • 'info.php'
  • 'index.php'

Mutlak dahili sunucu yolları da açığa çıktı:

```metin C:\api-factures\api-factures\ ''''

Bu bilginin açığa çıkması, Laravel çerçevesinin ciddi sağlamlaştırma kusurlarını ve güvensiz yapılandırmasını doğrulamaktadır.

5. KOMUTA VE KONTROL ALTYAPILARI (C2)

Operasyonun özü şu şekilde çalışan bir sunucuda merkezileştirildi:

  • merkezi yeniden yönlendirici;
  • tıklama izleyicisi;
  • para kazanma ağ geçidi;
  • ve kampanya denetleyicisi.

Uç nokta belirlendi:

```metin /click.php ''''

6. KAÇINMA TEKNİKLERİ

6.1 Analize karşı gizleme

Sunucunun aşağıdakilere karşı aktif gizleme uyguladığını belirledim:

  • araştırmacılar;
  • otomatik tarayıcılar;
  • Veri Merkezi IP'leri;
  • 'curl' ve 'Nmap' gibi araçlar.

Şüpheli bir ortam algıladığında sunucu şu şekilde yanıt verdi:

```http HTTP/1.1 302Bulundu Konum: http://yahoo.com/ ''''

veya:

```http Konum: http://google.com/ ''''

Bu teknik, kötü amaçlı açılış sayfasının güvenlik sistemlerine maruz kalmasını büyük ölçüde azaltır.

6.2 DGA ve Wildcard DNS

Araştırma sırasında, alanda Wildcard DNS'nin yoğun şekilde kullanıldığını tespit ettim:

```metin yandehyto.com ''''

Herhangi bir rastgele alt alan adı C2 sunucusuna doğru şekilde çözümlendi.

Tanımlanan örnekler:

q5tzrz.yandehyto.com sj9k9f.yandehyto.com *whonou.yandehyto.com

Bu teknik, yeni alan adlarının kaydedilmesine gerek kalmadan URL'lerin sonsuz rotasyonuna olanak tanır.

6.3 Wildcard SSL Sertifikaları

Operatör, Let's Encrypt tarafından verilen geçerli Wildcard sertifikalarını kullandı:

```metin *.yandehyto.com ''''

Bu, dinamik olarak oluşturulan tüm alt alanlar için geçerli HTTPS'ye izin vererek dolandırıcılığın güvenilirliğini artırdı.

7. YÜK KORKULUK ANALİZİ

Yönlendirmelerin ardından kurban şu adreste barındırılan sayfalara yönlendirildi:

  • pelnoriva.shop *baleiddiste.com
  • phidatharacce.com

Bu sayfalar, aşağıdakilerin arayüzünü simüle eden kötü amaçlı JavaScript çalıştırıyordu:

  • McAfee Tam Koruma

Kod aşağıdaki gibi işlevleri içeriyordu:

```javascript start_circleProgress() ''''

sahte antivirüs taramalarını simüle eden ve var olmayan tehditleri görüntüleyen:

  • 'Win32/Hoax.Renos.HX'
  • 'Trojan IRC/Backdor.Sd.FRV'

Ayrıca şunu da belirledim:

  • Tam Ekran API'sinin kullanımı;
  • navigasyon engelleme;
  • sekme odağı yakalama;
  • 'onbeforeunload'un durdurulması.

Amaç, kurbanı derhal antivirüs satın almaya ikna etmek için psikolojik baskı oluşturmaktı.

8. ORTAKLIK DOLANDIRICILIĞI

Nihai para kazanma, aşağıdakilerden meşru sayfalara yapılan yönlendirmeler aracılığıyla gerçekleşti:

NortonLifeLock Gen Dijital

Kampanya ortaklık platformunu kötüye kullandı:

  • Etki Yarıçapı

Bulunan tanımlayıcılar:

```metin İş Ortağı Kimliği: 3076190 Kampanya Kimliği: 4405 ''''

İşletim modeli, korkutucu yazılımların neden olduğu korkuyu finansal komisyona dönüştürdü.

9. Adli Kanıt

HTTP Yönlendirmesi

```http HTTP/1.1 302 Bulundu Sunucu: nginx/1.28.0 Tarih: 01 Mayıs 2026 Cum 20:12:37 GMT Konum: https://sj9k9f.yandehyto.com/click.php?lp=1&uclick=d7qg... ''''

Gizlenme tespiti:

```metin [Algılama Tetiklendi] -> http://yahoo.com/ adresine yönlendir ''''

SSL Sertifikası

```metin derinlik=0 CN = yandehyto.com

X509v3 Konu Alternatif Adı: DNS:*.yandehyto.com DNS: yandehyto.com

Veren: C = ABD O = Şifreleyelim CN = E7 ''''

10. BAĞLILIK GÖSTERGELERİ (IOC'ler)

IP'ler

  • '161.35.30.54'

Alanlar

  • smilingtooth.com.sa
  • obs.regideso.cd
  • keten-iskele-nehri.sayfalar.dev yandehyto.com baleiddiste.com
  • phidatharacce.com
  • pelnoriva.shop
  • pelnoriva.pelnoriva.shop

DGA Alt Alan Adları

q5tzrz.yandehyto.com sj9k9f.yandehyto.com *whonou.yandehyto.com

Satış Ortağı Kimlikleri

```metin Etki Yarıçapı İş Ortağı Kimliği: 3076190 Kampanya Kimliği: 4405 ''''

11. SONUÇ

Yürütülen soruşturmanın tamamına dayanarak, analiz edilen kampanyanın son derece profesyonel bir siber suç operasyonunu temsil ettiği sonucuna vardım:

  • kimlik avı;
  • korkutma yazılımı;
  • gizleme; *DGA;
  • Meşru altyapının kötüye kullanılması;
  • bağlı kuruluş dolandırıcılığı;
  • ve güvenliği ihlal edilmiş üçüncü taraf sunucular.

Operasyon aşağıdaki konularda güçlü bir teknik kapasite göstermektedir:

  • anti-analizden kaçınma;
  • sosyal mühendislik;
  • hileli para kazanma;
  • kampanya otomasyonu;
  • ve altyapı gizleme.

12. GÜVENİLİR REFERANSLAR VE URL'LERİN ANALİZİ

Tehdit istihbaratı platformlarındaki domain ve URL'lerin analizini kanıtlayan linkler aşağıdadır.

VirüsTotal

AlienVault OTX

IPDB'yi kötüye kullanma

Censys

Güvenlik Yolları

urlscan.io

Shodan

Not: Kötü niyetli faaliyetler ve uzlaşma göstergeleri zaten ilgili yetkililere rapor edilmiştir.