Çin APT Grubu Cloud Servislerini Kullanarak Moğolistan’ı Hedef Aldı
Nisan 2026’da yayımlanan yeni tehdit istihbarat raporları, Çin bağlantılı gelişmiş bir APT grubunun Moğolistan’daki devlet kurumları ve stratejik kuruluşlara yönelik uzun süreli bir siber casusluk operasyonu yürüttüğünü ortaya koydu.
Saldırganlar bu kampanyada klasik zararlı yazılımlar yerine meşru bulut servislerini kullanarak tespit edilmesi çok daha zor bir saldırı zinciri oluşturdu.
Saldırı Ne Zaman Başladı?
Analizlere göre operasyonun izleri 2025’in son çeyreğine kadar uzanıyor. Ancak aktif veri sızdırma ve kontrol faaliyetlerinin 2026 başından itibaren yoğunlaştığı belirtiliyor.
24 Nisan 2026 itibarıyla yayımlanan raporlar, saldırının halen bazı sistemlerde aktif olabileceğini gösteriyor.
Saldırganlar Ne Yaptı?
APT grubu, hedef sistemlere doğrudan zararlı yazılım bırakmak yerine şu teknikleri kullandı:
- Cloud storage servisleri üzerinden veri iletişimi
- Meşru API çağrıları ile komut kontrol (C2)
- Normal kullanıcı davranışını taklit eden trafik
- Uzun süreli gizli erişim (persistence)
Bu yöntemler sayesinde saldırı trafiği, normal kullanıcı aktivitesi gibi göründüğü için klasik güvenlik sistemleri tarafından tespit edilmesi oldukça zor hale geliyor.
Hedef Kim?
Saldırının ana hedefleri arasında:
- Moğolistan devlet kurumları
- Dış politika ve diplomasi birimleri
- Enerji ve madencilik sektörü
- Telekomünikasyon altyapıları
yer alıyor. Bu sektörler, ülkenin ekonomik ve stratejik yapısı açısından kritik öneme sahip olduğu için casusluk operasyonlarının odağında bulunuyor.
Cloud Abuse Nedir?
Cloud abuse, saldırganların Amazon AWS, Google Cloud, Microsoft Azure gibi meşru bulut servislerini kötüye kullanarak saldırı gerçekleştirmesidir.
Örneğin saldırganlar:
- Veri çalmak için Google Drive benzeri servisleri kullanabilir
- Komut göndermek için API çağrıları yapabilir
- Zararlı trafik yerine normal HTTPS trafiği oluşturabilir
Bu durum güvenlik ekipleri için büyük bir zorluk yaratır çünkü trafik tamamen normal görünür.
Neden Bu Kadar Tehlikeli?
Bu saldırının en kritik noktası, zararlı yazılımın minimum seviyede kullanılmasıdır. Geleneksel saldırılarda antivirüs veya EDR çözümleri zararlı dosyayı tespit edebilir. Ancak bu kampanyada saldırganlar neredeyse tamamen meşru araçlarla hareket ediyor.
Bu da saldırıyı “fileless attack” kategorisine yaklaştırır. Yani ortada yakalanacak klasik bir virüs yoktur.
Kim Bu APT Grubu?
Analizlerde saldırının Çin bağlantılı bir APT grubuna ait olduğu belirtiliyor. Bu tür gruplar genellikle devlet destekli çalışır ve finansal kazançtan çok istihbarat toplamayı hedefler.
Bu operasyonun amacı da büyük ihtimalle Moğolistan’ın stratejik verilerine erişmek ve bölgesel politik avantaj elde etmektir.
Siber Odak Yorumu
Bu olay, siber savaşın artık klasik hacker saldırılarından çok daha ileri bir noktaya geldiğini gösteriyor. Artık saldırganlar malware kullanmadan, tamamen meşru sistemleri kullanarak operasyon yapabiliyor.
En tehlikeli nokta şu: Bu tür saldırıları fark etmek için sadece antivirüs yetmez. Ağ davranışı analizi, anomali tespiti ve gelişmiş log korelasyonu gerekiyor.
Türkiye’deki birçok kurum hala imza tabanlı güvenlik sistemlerine güveniyor. Ancak bu tarz saldırılar, bu sistemleri tamamen bypass edebilir.
Ne Yapılmalı?
- Cloud servislerine giden trafik analiz edilmeli
- Anormal API kullanımları tespit edilmeli
- Zero Trust mimarisi uygulanmalı
- Uzun süreli aktif oturumlar izlenmeli
- Log analizi ve SIEM sistemleri aktif kullanılmalı
Sonuç
Moğolistan’a yönelik bu operasyon, siber casusluk faaliyetlerinin artık tamamen yeni bir seviyeye geçtiğini gösteriyor. Saldırganlar görünmez hale geliyor ve savunma tarafı için oyun giderek zorlaşıyor.
Gelecekte bu tür cloud tabanlı saldırıların daha da yaygınlaşması bekleniyor. Bu yüzden kurumların klasik güvenlik yaklaşımını bırakıp daha gelişmiş, davranış odaklı sistemlere geçmesi gerekiyor.