Rusya bağlantılı APT28 (Fancy Bear, Sednit, Sofacy) grubu, 2024 Nisan'ından itibaren yeniden hız kazandı. Özellikle Ukrayna askeri personelini hedef alan uzun vadeli casusluk kampanyalarıyla dikkat çekiyor.
ESET'in Mart 2026'da yayınladığı rapora göre grup, SlimAgent (keylogger ve ekran/pano izleme yetenekli), BeardShell (PowerShell tabanlı sofistike implant, bulut C2 için Icedrive kullanıyor) ve özelleştirilmiş Covenant (açık kaynak .NET framework'ü, Filen/pCloud/Koofr gibi meşru bulut hizmetlerini C2 için kötüye kullanarak kalıcılık sağlıyor) gibi araçları çift implant stratejisiyle birlikte kullanıyor.
Bu saldırılar spear-phishing ile başlıyor, meşru bulut hizmetlerini (Icedrive → Filen → pCloud → Koofr) C2 kanalı olarak kötüye alıyor, PowerShell yürütme, COM nesne ele geçirme ve MITRE ATT&CK teknikleriyle (T1059.001, T1071.001, T1567 vb.) veri sızdırıyor. 2025-2026 döneminde devam eden operasyonlarda CVE-2026-21509 gibi 1-gün exploit'ler de kullanıldı. Grup, GRU Birim 26165 ile bağlantılı ve 2004'ten beri aktif; kod benzerlikleri eski araçları (Xagent, Xtunnel) modernize ettiğini gösteriyor.
Bu tür sofistike, devlet destekli tehditler karşısında geleneksel "her şeyi engelle" yaklaşımı yetersiz kalıyor. Tehditler artık bulut tabanlı, living-off-the-land teknikleriyle gizleniyor ve tespit edilmesi zorlaşıyor.
İşte burada WatchGuard Technologies Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez'in uyarısı devreye giriyor: Siber güvenlik pazarındaki kavram karmaşası şirketleri yanlış yatırımlara sürüklüyor.
EDR (Uç Nokta Tespit ve Müdahale), NDR (Ağ Tespit ve Müdahale), MDR (Yönetilen Tespit ve Müdahale) ve XDR (Genişletilmiş Tespit ve Müdahale) gibi kısaltmalarla dolu pazar, karar vericileri kafa karıştırıyor. Birçok şirket "XDR aldık, her şeyi kapsar" diye düşünüp aslında sadece gelişmiş bir EDR platformuyla yetiniyor. Ya da "MDR hizmeti aldık, SOC'a gerek yok" yanılgısına düşüyor – saldırı anında hazırlıksız yakalanıyor.
Evmez'e göre asıl odak, tek bir üründen ziyade Tespit ve Müdahale (D&R) paradigması olmalı: Sinyal toplama → Tespit → Önceliklendirme → Müdahale → İyileştirme döngüsü. APT28 gibi tehditlerde bulut C2 ve kalıcılık teknikleri kullanıldığında, sadece uç nokta (EDR) yetmez; ağ görünürlüğü (NDR), entegrasyon ve hızlı müdahale (MDR/XDR) şart. Ama etiketlere takılmak yerine kapasiteye bakmak gerekiyor.
Doğru yatırım için 4 pratik adım
Kategoriler yerine kapasiteye odaklanın – Tedarikçilerden çözümü kendi senaryolarınızda test etmelerini isteyin.
Yeni kısaltma gerçekten yenilik mi, yoksa pazarlama mı?
Kurum içi terminolojiyi standartlaştırın – Ekip, kendi altyapısında EDR/MDR/XDR'den ne beklediğini netleştirsin ve yazılı hale getirsin.
Entegrasyon ve müdahale yeteneğini önceliklendirin – Sadece alarm üreten sistem gürültü yaratır; hızlı aksiyon alabilen çözümler seçin.
Kısaltmaların ötesindeki ihtiyacı sorgulayın – Bulut saldırıları, kimlik odaklı tehditler veya ağ görünürlüğü gibi gerçek boşlukları belirleyin.
