WIRTE ve AshTag: Ortadoğu’da Espionaj Tehditleri
Son yıllarda, siber güvenlik alanında dikkat çeken gelişmelerin en başında gelen WIRTE isimli gelişmiş sürekli tehdit (APT) grubu, 2020 yılından bu yana AshTag isimli daha önce belgelenmemiş bir kötü amaçlı yazılım paketi ile çevrimiçi saldırılar düzenliyor. Bu saldırıların hedefinde ise genellikle Orta Doğu’daki hükümet ve diplomatik kuruluşlar yer alıyor. Palo Alto Networks, bu tehdit grubunu “Ashen Lepus” adı altında izliyor.
Saldırıların Yayılımı
Yapılan araştırmalar, WIRTE’nin operasyon alanını genişlettiğini gösteriyor. Özellikle Oman ve Fas gibi ülkeler üzerinde yoğunlaşan tehdit hareketliliği, grup için yeni stratejik hedefler belirlediğini ortaya koyuyor. Bunun yanı sıra, Ashen Lepus’un, Ekim 2025 Gazze ateşkesi sonrasında da aktif kalmaya devam ettiği bildiriliyor. Diğer benzer grupların faaliyetleri azalırken, WIRTE’nin önemli bir farkla, saldırılarına devam etmesi siber güvenlik uzmanları arasında kaygılara yol açtı.
AshTag Kötü Amaçlı Yazılımının İşleyişi
WIRTE’nin kullandığı AshTag, modüler bir .NET arka kapı olarak dikkat çekiyor. Bu yazılım, sürdürülebilirlik ve uzaktan komut yürütme yetenekleri ile donatılmış durumda. Kötü amaçlı yazılım, ilk olarak masum görünümlü bir PDF dosyası ile başlıyor. Kullanıcılar bu dosyayı açtıklarında bir RAR arşivini indirmeye yönlendirilir. Arşivin açılması ile işlem zinciri başlar ve arka kapı sistemi devreye girer.
AshenLoader ve Sideloading Yöntemi
WIRTE, AshenLoader isimli kötü amaçlı bir DLL dosyasını sideloading yani yandan yükleme tekniği ile yükleyerek, araştırmaları zorlaştırıyor. Bu süreç, kullanıcıların dikkatini çekmeden birkaç aşamada gerçekleşiyor. Öncelikle, zararsız olarak görünen bir uygulama açılarak kullanıcı yanıltılıyor. Ardından, bu uygulama arka planda dış bir sunucu ile bağlantı kurarak daha fazla bileşen indiriyor. Bu bileşenler, kötü amaçlı yazılımın faaliyete geçmesi için gereklidir.
Kötü Amaçlı Yazılımın Bileşenleri
AshTag’ın temel bileşenleri arasında şunlar bulunuyor:
- Süreklilik ve işlem yönetimi
- Güncelleme ve kaldırma fonksiyonu
- Ekran yakalama
- Dosya keşfi ve yönetimi
- Sistem parmak izi alma
Bu fonksiyonlar, WIRTE’nin hedeflerine ulaşmasını kolaylaştırıyor.
Hedefler ve Sonuçlar
WIRTE’nin, özellikle Orta Doğu’daki hükümet kuruluşlarını hedef alması dikkat çekiyor. Geçmişte, bu grup, olası diplomatik bilgi hırsızlığı amacıyla çeşitli belgeleri ele geçirdi. Şu anda, Türk ve Fas gibi ülkelerle ilgili jeopolitik konulara odaklanma eğilimleri, yeni etki alanlarını gösterebilir.
Ayrıca, Unit 42’nin yaptığı bir raporda, WIRTE’nin siber saldırılar sırasında ele geçirilen belgeleri, Rclone adlı bir araçla kendi kontrolündeki sunuculara aktardığı belirtiliyor. Bunun yanı sıra, bu grupların faaliyetleri, Ortadoğu’daki jeopolitik durumları düzenli olarak takip ettiklerini ve sürekli olarak istihbarat topladıklarını ortaya koyuyor.
Sonuç olarak, WIRTE ve AshTag’ın siber güvenlikte oluşturduğu tehdit, sadece bölgesel değil, uluslararası düzeyde istihbarat savaşlarının da bir parçası haline gelmiştir.
