Araştırmacılar, İran devlet destekli bir hack grubunun, birçok ülkedeki kuruluşları hedef alan daha geniş bir siber casusluk kampanyasının parçası olarak büyük bir Güney Kore elektronik üreticisinin ağında günlerce bulunduğunu söylüyor.
According to Symantec’s Threat Hunter Team , saldırılar, İran İstihbarat ve Güvenlik Bakanlığı (MOIS) ile bağlantılı bir tehdit grubu olan Seedworm veya Static Kitten olarak da bilinen MuddyWater tarafından gerçekleştirildi. Araştırmacılar, operasyonun Asya, Orta Doğu, Avrupa ve Güney Amerika’daki en az dokuz kuruluşu hedef aldığını söylüyor.
Mağdurlar arasında devlet kurumları, Orta Doğu’daki bir uluslararası havaalanı, sanayi üreticileri, finansal hizmetler şirketleri, eğitim kurumları ve kimliği kamuoyuna açıklanmayan büyük bir Güney Kore elektronik şirketi yer alıyordu.
Symantec, saldırganların 20 Şubat ile 27 Şubat 2026 arasında yaklaşık bir hafta boyunca Koreli üreticinin ağında kaldığını söylüyor. Bu süre zarfında hackerlar keşif yaptı, ekran görüntüleri aldı, ek kötü amaçlı yazılım indirdi, antivirüs araçlarını saydı, kimlik bilgilerini çaldı ve ortamda kalıcı oldu.
Kampanya, yasal imzalanan uygulamaların kötü amaçlı kod yüklemek için kötüye kullanıldığı DLL yan yükleme tekniğine büyük ölçüde dayanıyordu. Araştırmacılar, saldırganların, Fortemedia’nın fmapp.exe ses aracı ve SentinelOne’un sentinelmemoryscanner.exe gibi meşru ikili dosyalar kullanarak kötü amaçlı DLL dosyalarını güvenlik savunmalarını tetiklemeden çalıştırdığını buldu.
Kötü amaçlı DLL’ler, Microsoft Edge gibi Chromium tabanlı tarayıcılarda Google Chrome saklanan hassas bilgileri çalmak için tasarlanmış ve sömürü ChromE sonrası levator adlı bir zararlı yazılım içeriyordu.
Araştırmacılar saldırılar sırasında yoğun PowerShell faaliyetleri de gözlemledi. Scriptler, sistem keşimi, ekran görüntü toplama, kimlik bilgileri hırsızlığı, kalıcılık ve saldırganların trafiği ele salınmış sistemler üzerinden yönlendirmesini sağlayan SOCKS5 proxy tünellerinin oluşturulması için kullanıldı. Bazı önceki MuddyWater kampanyalarının aksine, PowerShell yükleri Node.js tabanlı yükleyiciler aracılığıyla kontrol ediliyordu.
Symantec, kampanyanın finansal motivasyondan ziyade istihbarat odaklı olduğuna inanıyor. Araştırmacılar, saldırganların endüstriyel casusluk, fikri mülkiyet hırsızlığı ve tehlikeye giren kuruluşlara bağlı aşağı akım kurumsal ağlara erişim sağlamaya odaklandığını belirtti.
Bir diğer dikkat çekici detay ise, saldırganların kötü amaçlı faaliyetleri normal ağ trafiğiyle harmanlamak için kamuya açık bulut tabanlı dosya transfer hizmetlerini kullanmasıydı. Veri sızdırmasının sendit.sh yoluyla gerçekleştiği ve operasyonun meşru bulut kullanımına benzer görünerek tespit edilmekten kaçındığı bildirildi.
MuddyWater daha önce Orta Doğu ve Asya’daki telekomünikasyon firmalarını, savunma müteahhitlerini, devlet kurumlarını ve altyapı operatörlerini hedef alan casusluk kampanyalarıyla bağlantılıydı. ABD Siber Komutanlığı ve FBI, gruba geçmişte yapılan birkaç operasyonu kamuoyuna atfetti.