Ana Sayfa
BlogBize Ulaşın
Blog'a Dön
Tehdit İstihbaratı

Zirve Günü Teslimatı: SoupDealer Yükleyicisi ve Türkiye'yi Hedefleyen Adwind RAT

Netlore CyberOps
20 dk okuma

Özet

Bir SOC müşterimizin çalışanına, bir NATO zirvesinin açılış günü zararsız görünümlü bir "fiyat teklifi" ulaştı. Ekte dosya yoktu; mailin gövdesinde Google Drive'a giden bir indirme bağlantısı vardı. Bağlantının ucundaki .jar, üç katman şifre çözümünün ardında canlı bir komuta-kontrol (C2) sunucusuna bağlanan tam teşekküllü bir uzaktan erişim truva atı (RAT) çıktı.

Netlore Security Tehdit Araştırma ekibi olarak örneği bir kez bile çalıştırmadan, internet bağlantısı tamamen kesilmiş izole bir laboratuvarda uçtan uca çözdük ve kampanyanın bu varyantına ait canlı C2 konfigürasyonunu kendi elimizle çıkardık. Karşımıza çıkan zincir, Türkiye'yi hedeflediği bilinen ve kamuya açık sandbox/antivirüs çözümlerinin çoğunu atlatmasıyla tanınan SoupDealer yükleyicisi ve onun taşıdığı Adwind RAT'ıydı. Daha da önemlisi bu örnek, kampanyanın kamuya açık kaynaklarda henüz belgelenmemiş yeni bir sürümüydü: Tor yerine doğrudan clearnet C2 kullanıyor ve komut geldiğinde makineyi açılamaz hale getirebilen yıkıcı bir modül taşıyor.

AlanDeğer
Tarih6 Temmuz 2026
AileSoupDealer → Adwind (jRAT / AlienSpy)
Sürüm7.4.2.0.F.6
PlatformJava / JAR
HedefTürkiye
VektörPhishing e-posta → Google Drive indirme linki (.jar)
Önem derecesiKritik, C2 aktif
TLPCLEAR

Yazının başındaki görsel neden orada?

Bu yazının kapağındaki görsel bir tasarım tercihi değil; doğrudan zararlının içinden çıktı. lady_in_red-wallpaper-2560x1440.jpg adlı bu 1 MB'lık resim, Adwind payload'unun içine gömülü olarak geliyor ve iki işi birden görüyor.

İlki teknik ve sıradan: dosya boyutunu şişirerek bazı sandbox boyut limitlerini ve sezgisel taramaları aşmaya yarayan bir dolgu. İkincisi çok daha kritik. Adwind'in duvar kâğıdı değiştirme modülü, başarılı bir enfeksiyonun ardından bu görseli kurbanın masaüstü duvar kâğıdı yapıyor. Tıpkı bir fidye yazılımının notunu ekrana basması gibi, bir tür imza.

Bu görseli bir cihazın masaüstünde görüyorsanız, o makine büyük olasılıkla çoktan ele geçirilmiştir. Yani bu resim sıradan bir dolgu değil, enfeksiyonun gözle görülür işareti. Analizde SHA256 54a795ea… ile eşleşen bu dosyayı bir kurum cihazında bulmanız, tek başına bir olay müdahalesi başlatmak için yeterli sebeptir.

Bağlam: yoğun bir günde düşük profilli bir tuzak

Bir saldırganın en çok işine yarayan şey kalabalıktır. Kurumların dikkatinin dağıldığı, e-posta trafiğinin arttığı yoğun günlerde kötü amaçlı bir mesajın gözden kaçma ihtimali belirgin biçimde artar. Bu örnek de tam böyle bir güne denk geldi: bir NATO zirvesinin başladığı, gündemin ve kurumsal yazışma trafiğinin yoğunlaştığı bir tarihte, müşterimizin bir çalışanının gelen kutusuna tedarik temalı bir phishing e-postası düştü.

Bu örnekte klasik "ekte .jar" kalıbı yoktu, çünkü kurumsal e-posta geçitleri bu tür ekleri çoktan engelliyor. Bunun yerine zararlı dosya Google Drive'a taşınmış, mailde yalnızca bir indirme bağlantısı bırakılmıştı. Bağlantının ucundaki dosyanın adı ise klasik bir sosyal mühendislik tuzağıydı: "06.07.2026 FİYAT TEKLİFİ BEKLENEN ÜRÜNLER". Tam da satın alma ve muhasebe ekiplerinin düşünmeden açtığı türden bir başlık.

E-postanın tonu da bu tabloyu tamamlıyordu. Türkçe bir iş insanı görünen adıyla ("Doğan AKTAŞ") gönderilmiş, konu satırı sürmekte olan bir tedarik yazışmasına verilmiş doğal bir yanıt gibi kurgulanmıştı: "Mrb, hayırlı çalışmalar, dosya da ki parçaların iskonto oranları beraberinde teslimat süresi bilgisi paylaşır mısınız." Aciliyet dayatmayan, mevcut bir sipariş yazışmasının doğal devamı gibi görünen bu talep, çoğu zaman yazışma ele geçirme (thread-hijacking) saldırılarının işaretidir.

Dosyayı hiçbir aşamada çalıştırmadık; analizin tamamı internet bağlantısı olmayan izole bir laboratuvarda yapıldı.

MetrikDeğer
İç içe şifre çözme katmanı3
Gömülü payload entropisi7.99 / 8.0 (tam şifreli)
Ticari obfuscatorStringer + Allatori
Stage-3 RAT sınıf / komut modülü65+
VirusTotal ilk gün tespiti64 motordan yalnızca 1'i zararlı dedi

Teslimat zinciri: phishing e-postadan Google Drive'a

Örnek gelen kutusuna doğrudan ek olarak değil, Google Drive üzerinden bir indirme bağlantısıyla ulaştı. Kurumsal e-posta geçitlerinin .jar eklerini engellediği ortamlarda bu bilinçli bir tercih: zararlı dosya hiçbir zaman mailin içinde taşınmıyor, mail yalnızca güvenilir bir buluta işaret eden bir link taşıyor.

Orijinal phishing e-postasını (.msg) inceleyerek teslimat zincirinin tamamını çıkardık:

AlanDeğer
Gönderen[email protected], görünen ad "Doğan AKTAŞ"
Konu"…iskonto oranları beraberinde teslimat süresi bilgisi paylaşır mısınız."
İndirme bağlantısıdrive.google.com/uc?export=download&id=1rZCHjstkxPxJ7RZRPmdf13aJ10Cc14lr
Gönderim altyapısıYandex Mail (178.154.239.95, AS200350 Yandex.Cloud, RU)
Kimlik doğrulamaSPF: none · DKIM: none · DMARC: none · compauth=fail
Microsoft filtre sonucuSCL:1 · SFV:NSPM (Spam Değil), teslim edildi
Hedefleme sinyaliLANG:tr (Türkçe) · CTRY:RU (bağlanan IP ülkesi)

İşin ilginç yanı, mailin en üstünde kurumun kendi güvenlik uyarısı duruyordu: "Bu e-posta kurum dışından gönderilmiştir. Lütfen yalnızca güvendiğiniz kaynaklardan gelen link ve dosyaları açın." Ve tam da o satırın altında Google Drive linki. Saldırgan, "güvenilir kaynak" algısını doğrudan Google'ın alan adı üzerinden kullanıyor.

Kimlik doğrulama baştan sona başarısız, ama mail yine de teslim edilmiş. 8zonetime.com için SPF, DKIM ve DMARC'ın üçü de yok (compauth=fail). Buna rağmen mail, Yandex'in gönderim itibarı sayesinde alıcının kutusuna spam işareti almadan (SFV:NSPM) düşmüş. Bu tablo, yalnızca IP itibarına bakan mail filtrelerinin, hiçbir kimlik doğrulaması olmayan bir gönderene nasıl kapı açtığını net biçimde gösteriyor. Öneri: DMARC hizalamasını (p=quarantine/reject) zorunlu kılın; kimliği doğrulanmamış From alanlarını karantinaya alın.

Neden bu alan adları? Kamuflaj analizi

Kampanyada üç farklı alan adı var ve her biri ayrı bir güven katmanını sömürecek şekilde seçilmiş:

  • drive.google.com, payload barındırma. Zararlı JAR, Google'ın CDN'inden TLS üzerinden servis ediliyor. Hiçbir URL itibar/kara listesinde yer almıyor, hiçbir kategori filtresi engellemiyor. Bu indirme adresi VirusTotal'da daha önce hiç görülmemiş, tertemiz bir bağlantı.
  • gocebekuslar.store, C2. Türkçe bir ifade: "göçebe kuşlar". Rastgele karakterlerden oluşan bir C2 alan adının aksine, Türk kurbanların ağ trafiğinde organik ve zararsız görünüyor; bir analistin gözüne takılmıyor. .store uzantısı ucuz ve denetimi gevşek; üstelik bazı itibar servisleri bu alanı "shopping" (alışveriş) olarak sınıflandırmış, yani birçok kurumsal web proxy'si kategori bazlı filtrelemede bu alana izin veriyor. Namecheap üzerinden 26 Mart 2026'da, yani kampanyadan yaklaşık 3,5 ay önce kaydedilmiş. Kayıt tarihinin biraz eski tutulması tesadüf değil: "yeni kaydedilmiş alan adı" şüphesinden kurtulacak kadar bekletilmiş, ama hâlâ taze.
  • 8zonetime.com, gönderen. Kayıt geçmişi 2019'a uzanan, süresi dolup bırakılmış bir alan adı. Şu an Yandex Mail'e (RU altyapısı) yönlendirilmiş ve geçerli bir SPF/DKIM kaydı yok. Eski itibarını kullanıp kimlik doğrulama denetimlerini atlatmak için yeniden ele geçirilmiş bir alan adı görünümü veriyor.

Saldırı zinciri: JAR içinde JAR içinde RAT

Örnek, tek bir işi yapan bir yükleyici olarak tasarlanmış: her katman bir sonrakini bellekte çözüyor ve diske hiç dokunmadan çalıştırıyor. Bu, imza tabanlı tespiti ve otomatik sandbox'ları etkisiz bırakmaya yönelik bilinçli bir tasarım.

Aşama 01 — Yükleyici          Aşama 02 — Dropper           Aşama 03 — Payload
┌─────────────────────┐      ┌─────────────────────┐      ┌─────────────────────┐
│  Stringer Loader    │      │   Start + stub      │      │    Adwind RAT       │
│  main-class: a      │─AES─▶│   main-class: Start │─RC4─▶│  main-class:Principal│
│  962 → JAR çözer    │      │   stub → Adwind JAR │      │  canlı C2'ye bağlanır│
│  (özel ClassLoader) │      │   + decoy görsel    │      │  (Allatori korumalı) │
└─────────────────────┘      └─────────────────────┘      └─────────────────────┘

Aşama 1: Stringer korumalı yükleyici

JAR'ın manifest dosyası niyetini daha ilk bakışta ele veriyor. Meşru bir "fiyat teklifi" eki, Stringer gibi agresif bir kod koruma katmanıyla gelmez:

# META-INF/MANIFEST.MF
# Ticari obfuscator parmak izi (Licel — licelus.com)
Protected-By: 9.0.9 Stringer (20180205)
Protected-Notice: AV contact email - [email protected]
Main-Class: a

Sınıflar tek harfli adlara indirgenmiş (a, n, u, o), tüm metot çağrıları tamsayı hash'leri üzerinden reflection ile yapılıyor ve bütün string'ler çağıran metodun stack-trace'ine kilitli, AES tabanlı bir şemayla şifrelenmiş. Statik analizi kırmak için kurulmuş güçlü bir anti-analiz mekanizması. Ana sınıf a, Java'nın ClassLoader'ını genişletiyor ve gömülü 962 dosyasını javax.crypto.Cipher ile çözüyor.

İkinci aşamanın sinyali. 962 dosyası 1.102.656 baytlık, entropisi 7.9998/8.0 olan tamamen rastgele bir blok. Bu değer, verinin ya güçlü şifreli ya da sıkıştırılmış olduğunun kesin işareti. Bir "ürün listesi" için beklenecek en son şey.

String şifrelemesini kırmak için Stringer v9'un çözücü rutinini bir emülatör üzerinde işleterek 2.460 şifreli string'i ortaya çıkardık. Bunun ardından yükleyicinin asıl işi görünür hale geldi: 962 → AES → bir JAR arşivi.

Aşama 2: dropper, decoy görsel ve RC4

Çözülen 962 arşivi klasik bir dropper mimarisi ortaya koyuyor. İçindeki dört bileşenden biri, yazının başında anlattığımız duvar kâğıdı görseli:

# 962 (AES ile çözülmüş) → JAR içeriği
   198  META-INF/MANIFEST.MF                    # Main-Class: Start
134901  stub                                    # RC4-şifreli Adwind (stage-3)
 40519  Start.class                             # stage-2 yükleyici
946248  lady_in_red-wallpaper-2560x1440.jpg     # boyut dolgusu + enfeksiyon duvar kâğıdı

İkinci aşama sınıfı Start de kendisi özel bir ClassLoader. stub kaynağını RC4 ile çözerek asıl payload'u, yani bir Adwind JAR'ını ortaya çıkarıyor ve yine belleğe yüklüyor. Görsel ise diske düşen tek somut dosya; enfeksiyon tamamlandığında masaüstünde beliriyor.

Aşama 3: Adwind RAT v7.4.2.0.F.6

RC4 çözümünün sonunda ortaya çıkan JAR kimliğini saklamıyor. İspanyolca paket ve sınıf adları (opciones = seçenekler, Archivo = dosya, Borrar = sil, Instalador = yükleyici), extra/secure/AntiKill gibi güvenlik-yazılımı sonlandırıcıları ve bir Tor/ paketi; hepsi Adwind / jRAT / AlienSpy ailesinin bilinen imzası. Manifest Main-Class: Principal diyor; konfigürasyon ise Allatori string şifrelemesinin ardında bekliyordu.

Allatori katmanını çözdükten sonra, RAT'ın operatör tarafından derlenmiş konfigürasyonu config/ConfigSet sınıfında olduğu gibi karşımıza çıktı. Bu analizin en değerli çıktısı da buydu:

// config/ConfigSet.class — deobfuscate edilmiş
static {
    SOURCE_VERSION  = "7.4.2.0.F.6";
    ENCVERUPGKEYGEN = "GEN.2.1.3";
    CONNECT_DNS     = "gocebekuslar.store";   // C2 — kontrol
    TOR_UPLOAD_DNS  = "gocebekuslar.store";   // C2 — yükleme
    PASSWORD        = "04d3978c339e5601d4eb7411946b691c746a6438";
    PREFIX          = "SPAM";
    STARTUP_TYPE    = "REGEDIT";              // registry kalıcılığı
    STARTUP_DELAY   = 60L;
}
// PORT_1 = 10820 (DNS/kontrol)   PORT_2 = 35744 (yükleme)

Canlı C2 konfigürasyonu

AnahtarDeğer
CONNECT_DNSgocebekuslar.store93.185.166.150
Kontrol portu10820 / TCP
Yükleme portu35744 / TCP
Parola04d3978c339e5601d4eb7411946b691c746a6438
PrefixSPAM
KalıcılıkREGEDIT (Run anahtarı) + 60 sn gecikme
Coğrafi filtrefreeipapi.com · ipinfo.io

Bu varyant Tor kullanmıyor: doğrudan clearnet C2

Kamuya açık SoupDealer raporlarının (Ağustos 2025) tamamı .onion üzerinden Tor'a yönlenen C2 ve 49152/49153 portlarından söz eder. Bu örnek farklı. config/ConfigSet içinde TOR = false; Tor/TorDinamicLink sınıfı yalnızca dist.torproject.org üzerinden Tor Browser'ı indiren yardımcı bir bileşen. Asıl bağlantı doğrudan clearnet gocebekuslar.store alan adına, 10820 ve 35744 portlarından kuruluyor; .onion alanı bu build'de hiç doldurulmamış (ONION NOT FOUND).

Kendi örneğimizi çözmenin belirleyici olduğu nokta tam burası. Bu varyantın portları ve clearnet C2 alan adı, kampanyanın kamuya açık referans örneklerinden farklı; IOC'leri başka raporlardan kopyalamak yanıltıcı olurdu. Canlı C2'yi yalnızca bu örneği kendimiz çözerek elde edebildik. Ortak parola hash'i ve SPAM prefix'i ise aynı aktörü işaret ediyor. Yani elimizdeki, kamuya açık kaynaklarda henüz belgelenmemiş taze bir gösterge.

Yetenekler

Adwind, modüler bir komut mimarisine sahip çapraz-platform bir RAT. Bu örnekteki sınıf envanteri şu yetenekleri ortaya koyuyor:

  • Gözetleme: OrdenCaptura (ekran görüntüsü), SendTumbnail, WebBot / Informacion (sistem keşfi)
  • Dosya işlemleri: LocalFileUpload/Download, Archivo · Copiar · Borrar, BuscarArchivos (dosya arama)
  • Komut ve kontrol: Signal · Opcion1–9, WinRegistry · Update, Downloader · Instalador
  • Kaçırma / savunma imhası: AntiKill (44 KB) · WinKill, SecTools (güvenlik aracı sonlandırma), gizli PowerShell -EncodedCommand
  • Kalıcılık: StartUp — Registry Run (REGEDIT), schtasks zamanlanmış görev, 60 sn gecikmeli tetikleme
  • Anti-analiz / coğrafya: GetIP (coğrafi filtre, yalnız TR), ping localhost -n 7 (geciktirme), TOR indirme ve duvar kâğıdı değiştirme

Yıkıcı ve kendini koruyan modüller

Adwind çoğunlukla bir bilgi hırsızı ya da uzaktan erişim aracı olarak anılır. Ancak bu örnekteki iki modül, ondan beklenenin ötesinde bir hasar ve dayanıklılık kapasitesi gösteriyor.

WinKill, yıkıcı modül

RAT, komut geldiğinde makineyi kullanılamaz hale getirebiliyor. extra/secure/WinKill, kritik önyükleme dosyalarını hedefleyip siliyor ya da bozuyor:

\bootmgr
\System32\winload.exe
\System32\Drivers\pci.sys

Bu dosyaların bozulması sistemin açılmasını engeller. Modül, bir sabotaj komutu ya da izleri temizlemeye yönelik anti-forensik bir adım olarak kullanılabilir. Bir bilgi hırsızı için beklenenin çok ötesinde, ciddi bir yıkım yeteneği.

AntiKill, kendini koruma ve UAC yükseltme

extra/secure/AntiKill bir bekçi süreç (watchdog) gibi çalışıyor: çalışan JAR ile kurulu JAR'ı sürekli karşılaştırıyor ve gerektiğinde kendini yeniden başlatıyor. Bunu yaparken UTF-16LE Base64 kodlu, gizli pencereli bir PowerShell çağrısı kullanıyor ve UAC yükseltmesi talep ediyor:

powershell.exe -nop -noni -win h -enc <base64>
  └─ Start-Process -FilePath "<javaw>" -ArgumentList '-jar','"<jar>"' -win h -Verb RunAs

-Verb RunAs bayrağı, işlemi yönetici haklarıyla yeniden başlatma talebidir. Kullanıcı UAC istemine onay verdiğinde RAT yükseltilmiş yetkilerle çalışmaya devam eder.

Kalıcılık, coğrafi kısıtlama ve bırakılan dosya deseni

Kalıcılık iki yöntemle sağlanıyor:

  • Registry Run: Software\Microsoft\Windows\CurrentVersion\Run altına rastgele adlı bir değer yazılıyor.
  • Zamanlanmış görev: schtasks /Create /TR "<javaw -jar ...>" /SC ONLOGON /TN <rastgele> komutuyla oturum açılışında tetikleniyor. Konfigürasyondaki STARTUP_TYPE=REGEDIT hangi yöntemin seçileceğini belirliyor.

Coğrafi kısıtlama ve geciktirme: extra/GetIP, kurbanın IP'sini freeipapi.com ve ipinfo.io üzerinden çözerek zararlıyı yalnızca hedef coğrafyada (Türkiye) çalışacak şekilde filtreliyor; özel ve loopback adresleri eliyor. Ayrıca cmd.exe /c ping localhost -n 7 ile yaklaşık 7 saniyelik yapay bir gecikme uygulayarak otomatik sandbox'ları atlatıyor.

Bırakılan dosya deseni: Tüm dosya, klasör ve anahtar adları enfeksiyon başına rastgele üretiliyor (Utils.RANDOM, 6–32 karakter). Bu yüzden sabit dosya adı IOC'u yok; ancak desenin kendisi güçlü bir tehdit avı sinyali:

ArtefaktDesen
Ana JAR / yükleyici%APPDATA%\<rastgele 6–32> (jar + lock dosyası)
Tor indirmesi<rastgele 8–32>.exe
Duvar kâğıdı<rastgele 8–32>.bmp
Not / işaret dosyaları<rastgele 6–32>.txt
KalıcılıkRun anahtarı veya ONLOGON görevi, rastgele adlı

Tehdit avı özeti. javaw.exe'nin %APPDATA%'dan çalışması, rastgele adlı .exe / .bmp / .txt dosyaları bırakması, bir Run anahtarı ya da ONLOGON görevi yazması ve gizli -enc PowerShell doğurması. Bu adımlar bir arada görüldüğünde yüksek güvenilirlikli bir tespit sinyali oluşturur.

MITRE ATT&CK haritalaması

TaktikTeknikGözlem
Initial AccessT1566.002 Spearphishing Link"Fiyat teklifi" temalı mailde Google Drive indirme linki
Resource DevelopmentT1608.001 Stage Capabilities: Upload MalwarePayload'un Google Drive'a yüklenmesi
Command & ControlT1102 Web ServiceDağıtım için güvenilir bulut (Google Drive) istismarı
ExecutionT1059.001 PowerShellGizli -enc PowerShell
ExecutionT1204.002 Malicious FileKullanıcının JAR'ı açması
Defense EvasionT1027 Obfuscated/EncryptedStringer v9 + Allatori + AES/RC4 katmanları
Defense EvasionT1140 Deobfuscate/Decode3 aşamalı bellek-içi çözme
Defense EvasionT1497 Virtualization/Sandbox EvasionCoğrafi kısıtlama + ping gecikmesi
Defense EvasionT1562.001 Impair DefensesAntiKill / SecTools / WinKill
PersistenceT1547.001 Registry Run KeyCurrentVersion\Run
PersistenceT1053.005 Scheduled Taskschtasks /SC ONLOGON
Privilege EscalationT1548.002 Bypass UACPowerShell -Verb RunAs
DiscoveryT1614.001 System Location Discoveryfreeipapi.com / ipinfo.io
CollectionT1113 Screen CaptureOrdenCaptura / SendTumbnail
Command & ControlT1219 Remote Access SoftwareAdwind RAT
Command & ControlT1571 Non-Standard PortTCP 10820 / 35744
ImpactT1485 / T1561 Data/Disk DestructionWinKill boot dosyası imhası

Altyapı: OSINT pivot

C2 alan adından başlayarak barındırma altyapısını çıkardık:

GöstergeBulgu
C2 IP93.185.166.150 (93.185.166.0/23)
Hosting / ASNAlexHost Srl · AS200019, Moldova merkezli, kötüye kullanıma göz yuman offshore barındırma
C2 domain kaydıNamecheap, kayıt tarihi 26 Mart 2026 (kampanyadan ~3,5 ay önce); NS/MX: *.registrar-servers.com
C2 domain kategorisiBazı itibar servislerinde "shopping", bazılarında "Suspicious"; kategori filtrelemesini atlatan kamuflaj
Gönderen domain8zonetime.com, 2019 kayıtlı, yeniden ele geçirilmiş; şu an Yandex Mail (RU), geçerli SPF/DKIM yok
Payload barındırmadrive.google.com (Google Drive direct-download), güvenilir bulut istismarı
Aynı IP'de barınan (pivot)labuba2.farted.net (dinamik DNS, muhtemel aktör altyapısı)
Kampanya bağlamıSoupDealer, Türkiye hedefli, Ağustos 2025'ten beri aktif; bu varyant clearnet C2 ile yeni

C2 alan adının NS/MX kayıtlarının tamamı Namecheap'in varsayılan yönlendirme altyapısına işaret ediyor; tek kullanımlık, ucuz bir phishing alan adı profili. TLS sertifikası bulunmaması (crt.sh boş), C2'nin HTTPS yerine ham TCP soket protokolü kullanmasıyla tutarlı. C2 IP'sinin, kötüye kullanıma göz yuman offshore bir sağlayıcı olan AlexHost'ta (AS200019) barındırılması da tesadüf değil: operatör, sunucusunun kolay kolay kapatılamamasını önemsiyor.

Neredeyse görünmez bir varyant: VirusTotal telemetrisi

Varyantın ne kadar taze olduğunu en somut gösteren veri, kamuya açık çoklu-motor taramasından geliyor. Ana JAR (SHA256 e4d40008…) VirusTotal'e ilk kez 6 Temmuz 2026, 11:45 UTC'de, yani mailin geldiği gün gönderildi.

VT metriğiDeğer
İlk görülme6 Temmuz 2026, 11:45 UTC
Zararlı işaretleyen motor1 / 64, yalnız NANO-Antivirus (Exploit.Zip.Heuristic-java.csrvpr, statik ZIP sezgiseli)
Dinamik kum havuzuZenbox + Zenbox Linux → "CLEAN" (%97–98 güven)
VT davranışsal ağ IOC'uYok, kum havuzu C2'yi hiç tetiklemedi (evasion)
Öne çıkan davranış etiketlerisets-process-name, detect-debug-environment, long-sleeps

İki bulgu özellikle dikkat çekici. Statik tarafta 64 motordan yalnızca biri, o da sadece sezgisel bir ZIP kuralıyla yakalayabildi; hiçbir motor örneği "Adwind" ya da "SoupDealer" olarak adlandırmadı. Yani imza tabanlı tespit fiilen sıfır. Dinamik tarafta ise VT'nin kum havuzları örneği temiz ilan etti, çünkü coğrafi kısıtlama ve long-sleeps gecikmeleri gerçek davranışı tetiklemeden analizi sonlandırdı. Bu yüzden VT'de örneğe ait hiçbir "contacted domain/IP" ilişkisi yok. Canlı C2'yi ancak kendi kontrollü çözümlememizle ortaya koyabildik.

Tespit oranları zamanla değişir; motorlar imza ekledikçe bu sayı yükselecektir. Buradaki asıl mesele anlık orandan çok, örneğin ilk görüldüğü gün neredeyse hiç tespit almadan ve jenerik bir etiketle dolaşımda olması. Zero-day benzeri kısa ama gerçek bir pencere. İmzaya ve klasik AV'ye güvenmeyin; davranışsal EDR ve ağ tespiti önceliklidir.

Metodoloji: payload'u hiç çalıştırmadan canlı config çıkarmak

Bu tür çok katmanlı, stack-trace'e kilitli obfuscation'ı yenmenin yolu örneği çalıştırmak değil; çözücü rutinleri kontrollü biçimde işletip payload'u tam ortaya çıktığı anda yakalamaktır. Netlore Tehdit Araştırma ekibinin izlediği güvenli çözümleme yöntemi şöyleydi:

  • String'leri emülatörde çözdük. Gerçek işletim sistemine hiç dokunmadan, Stringer v9 (2.460 string) ve Allatori (1.095 string) katmanlarını bir emülatör içinde açtık.
  • Payload'u bellekte, oluştuğu anda yakaladık. Özel bir Java agent ile ClassLoader.defineClass, ByteArrayInputStream ve konfigürasyon haritası çağrılarına kanca taktık; her aşamanın çözülmüş hâlini tam bu noktada diske aldık.
  • İnternete tamamen kapalı bir ortamda çalıştırdık. Zincirin tamamı, ağ bağlantısı olmayan izole bir namespace içinde çalıştı; dışarıya tek bir paket bile gidemezdi.
  • Zararlı kod çalışmadan önce süreci durdurduk. Asıl zararlı sınıfların statik başlatıcısı (<clinit>) hiçbir zaman devreye girmedi; çözülmüş baytları alır almaz süreci sonlandırdık.

Sonuçta, örneği bir kez bile çalıştırmadan bu varyanta ait canlı ve doğrulanmış komuta-kontrol altyapısını elde etmiş olduk.

Tespit ve müdahale önerileri

  • Engelle: gocebekuslar.store ve 93.185.166.150 adreslerini DNS ve firewall katmanında engelleyin; giden TCP 10820 ve 35744 trafiğini izleyip durdurun.
  • Mail katmanı: Gönderen alan adı 8zonetime.com ve [email protected] adresini engelleyin; DMARC hizalamasını zorunlu kılın (p=quarantine/reject) ve SPF/DKIM'i olmayan (compauth=fail) gönderenleri işaretleyin. Google Drive gibi güvenilir bulut alan adlarını "beyaz liste" gibi görmeyin; indirilen dosya türüne göre CDR/sandbox uygulayın.
  • Karantina: Örnek SHA256'sını EDR/AV'de bloklayın; mail geçidinde .jar eklerini ve bulut paylaşım linklerinden inen .jar / .jnlp / .js dosyalarını varsayılan olarak karantinaya alın.
  • Tehdit avı: javaw.exe'nin dış bağlantıları, freeipapi.com / ipinfo.io sorguları, gizli PowerShell -EncodedCommand çağrıları, yeni Registry Run anahtarı ve schtasks görevleri, yıkıcı WinKill boot-dosyası erişimleri; tarayıcı veya indirici süreçlerinin drive.google.com/uc?export=download üzerinden çektiği yürütülebilir dosyalar.
  • Duvar kâğıdı denetimi: Tüm cihazlarda lady_in_red-wallpaper-2560x1440.jpg (SHA256 54a795ea…) dosyasını arayın; bu görselin bir cihazda bulunması doğrudan enfeksiyon işaretidir.
  • Farkındalık: Satın alma ve muhasebe ekiplerine "fiyat teklifi / sipariş / iskonto" temalı, içinde bulut linki barındıran e-postalara ve .jar, .jnlp, .js dosyalarına karşı hedefli uyarı yapın.

Tespit kuralları

Bu varyant için üç katmanda tespit kuralı geliştirdik ve bunları doğrudan devreye alınabilir dosyalar olarak paylaşıyoruz:

  • YARA (soupdealer.yar): aşama-1 yükleyicinin Stringer parmak izi, aşama-3 Adwind ve bu varyantın C2 konfigürasyonu, ayrıca konfigürasyondan bağımsız çalışan davranışsal bir kural.
  • Suricata / Snort (soupdealer.rules): gocebekuslar.store DNS sorgusu, 93.185.166.150 adresine 10820 / 35744 C2 trafiği ve freeipapi.com üzerinden coğrafi kontrol.
  • Sigma (soupdealer-sigma.yml): javaw kaynaklı gizli -enc PowerShell, Run / ONLOGON kalıcılığı, yıkıcı WinKill boot-dosyası silme ve javaw → yüksek portlu C2 bağlantısı.

Bırakılan dosya adları enfeksiyon başına rastgele üretildiğinden, host tarafındaki kurallar sabit dosya adına değil davranışa (süreç ataları, komut satırı, hedef yol ve port) dayanıyor. Bu kural setlerine ihtiyaç duyan SOC ve mavi takım ekipleri bizimle iletişime geçebilir.

Ek: Tehlike Göstergeleri (IOC)

Aşağıdaki göstergeler doğrudan bu örnekten çıkarılmıştır. Ağ göstergeleri yüksek güvenilirlikte ve kalıcıdır; savunma araçlarınıza öncelikle bunları besleyin.

Teslimat / phishing göstergeleri

TürDeğerNot
Gönderen[email protected] (görünen ad "Doğan AKTAŞ")Phishing gönderen, yeniden ele geçirilmiş alan
Gönderen alan adı8zonetime.com2019 kayıtlı; şu an Yandex/RU mail, SPF/DKIM yok
Gönderim IP178.154.239.95 (AS200350 Yandex.Cloud, RU)Mail gönderim altyapısı
Payload URLdrive.google.com/uc?export=download&id=1rZCHjstkxPxJ7RZRPmdf13aJ10Cc14lrJAR indirme linki
Drive dosya ID1rZCHjstkxPxJ7RZRPmdf13aJ10Cc14lrGoogle Drive barındırma
Konu…iskonto oranları beraberinde teslimat süresi bilgisi paylaşır mısınızTedarik temalı tuzak

Dosya göstergeleri

TürDeğerNot
SHA256e4d40008b10183524514b7517d7d236d6d99e9b4d4f89292e9ed0983aff619bbAna JAR (aşama 1)
MD540e2095555d022e6f4a3a9d12eb164afAna JAR
SHA2562412a1dfd64d0a5335f14fe48f920bc248b6c903126c8b6b89b02e4feaea72bdStart.class (aşama 2)
SHA25654a795eab5bf70900545596dd7e6da823963d12acc967e4166087f1b5c6b794cdecoy görsel (lady_in_red…jpg)
Dosya adı06.07.2026 FİYAT TEKLİFİ BEKLENEN ÜRÜNLER1.jarE-posta eki / tuzak
Kaynak962Gömülü AES payload (1.05 MB)
Decoylady_in_red-wallpaper-2560x1440.jpgBoyut dolgusu + enfeksiyon sonrası masaüstü duvar kâğıdı

Ağ göstergeleri, yüksek öncelik

TürDeğerRol
Domaingocebekuslar.storeC2 (kontrol + yükleme)
IPv493.185.166.150C2 çözümlemesi
Port10820/tcpKontrol kanalı (DNS)
Port35744/tcpYükleme kanalı
Coğrafi kontrolfreeipapi.com · ipinfo.ioCoğrafi hedefleme (yalnız TR)
İndirmedist.torproject.org/torbrowser/TOR bileşeni indirimi
ASN / HostingAlexHost Srl · AS200019 (Moldova, offshore)C2 barındırma
RegistrarNamecheap (*.registrar-servers.com)Domain kaydı
Ortak barınan (pivot)labuba2.farted.netAynı IP'de dinamik DNS

Host ve konfigürasyon göstergeleri

AnahtarDeğer
RAT ailesi / sürümAdwind (jRAT/AlienSpy) 7.4.2.0.F.6 · ENCVER GEN.2.1.3
YükleyiciSoupDealer (Stringer v9 + Allatori)
Konfig parolası04d3978c339e5601d4eb7411946b691c746a6438
Kampanya prefixSPAM
KalıcılıkRegistry Run (STARTUP_TYPE=REGEDIT) · schtasks ONLOGON
Manifest imzasıProtected-By: 9.0.9 Stringer

Hızlı blok listesi

gocebekuslar.store
93.185.166.150
8zonetime.com
[email protected]
178.154.239.95
drive.google.com/uc?export=download&id=1rZCHjstkxPxJ7RZRPmdf13aJ10Cc14lr
e4d40008b10183524514b7517d7d236d6d99e9b4d4f89292e9ed0983aff619bb
40e2095555d022e6f4a3a9d12eb164af
2412a1dfd64d0a5335f14fe48f920bc248b6c903126c8b6b89b02e4feaea72bd

Bu analiz, Netlore Security Tehdit Araştırma ekibi tarafından bir SOC müşterisine ulaşan gerçek bir örnek üzerinde, 6 Temmuz 2026 tarihinde gerçekleştirilmiştir. Tüm örnek işlemleri ağı izole edilmiş kontrollü bir laboratuvar ortamında yapılmıştır. TLP:CLEAR, göstergeler serbestçe paylaşılabilir. İçerik yalnızca savunma ve bilgilendirme amaçlıdır.

Etiketler:Malware AnaliziAdwindSoupDealerJava RATjRATAlienSpyC2IOCPhishingTehdit İstihbaratı

Siber Güvenlik Danışmanlığına İhtiyacınız mı Var?

Uzman ekibimiz, kurumsal altyapınızın güvenliğini sağlamak için kapsamlı siber güvenlik hizmetleri sunmaktadır. Sızma testleri, güvenlik denetimleri ve danışmanlık hizmetlerimiz hakkında detaylı bilgi almak için bizimle iletişime geçin.

İletişime Geç

Çerez Kullanımı

Web sitemizde deneyiminizi geliştirmek için çerezler kullanıyoruz. Devam ederek çerez kullanımını kabul etmiş olursunuz.

Çerez Politikası