Devlet Destekli Türk Hackerlar - Hacker News

[BruteKing]

Microsoft, Türk casuslarının Irak'taki Kürt ordusu hakkında bilgi toplamak için bir mesajlaşma uygulamasındaki sıfır günlük bir açığı kullandığını ve saldırıların bir yıldan fazla bir süre önce başladığını bildirdi.

Output Messenger'daki sıfır gün (zero-day) açığını kullanarak Kürt hedeflere Golang arka kapılar yerleştirdi.

Microsoft’un açıklamasına göre, Marbled Dust (diğer adlarıyla Silicon, Cosmic Wolf, Sea Turtle, Teal Kurma, UNC1326) adlı tehdit aktörü, Hindistan merkezli Output Messenger isimli kurumsal iletişim platformundaki CVE-2025-27920 numaralı zafiyeti kullanarak Nisan 2024’ten bu yana casusluk faaliyetleri yürütüyor.

Hedefler:

• Irak’taki Kürt askeri yapılar ve sistemler
• Kürt siteleri (daha önce Hollanda’daki bazı Kürt siteleri de hedef alınmıştı)

Saldırı zinciri şu şekilde ilerliyor:

1. Saldırganlar Output Messenger Server Manager’a erişim sağlıyor (DNS hijacking ya da sahte domain'lerle kimlik bilgisi çalma yöntemleri kullanılıyor).
2. CVE-2025-27920 açığı kullanılarak "OM.vbs", "OMServerService.vbs" ve "OMServerService.exe" adlı dosyalar hedef sunucuya bırakılıyor.
3. Bu dosyalar sayesinde Golang tabanlı bir arka kapı (backdoor) sisteme yerleştiriliyor ve "api.wordinfos[.]com" adresine veri sızdırılıyor.
4. İstemci tarafında da benzer şekilde Golang backdoor içeren bir yükleyici çalıştırılıyor.

Microsoft ayrıca, CVE-2025-27921 numaralı başka bir XSS açığı keşfetmiş olsa da, bunun henüz gerçek saldırılarda kullanılmadığını belirtti.

Sonuç olarak:

Bu saldırı, Marbled Dust grubunun teknik kapasitesinde ciddi bir artış olduğunu ve hedefleme önceliklerinin değişmiş olabileceğini gösteriyor.
KAYNAK:

Türkiye Hackers Exploited Output Messenger Zero-Day to Drop Golang Backdoors on Kurdish Servers

CVE-2025-27920 exploited by Marbled Dust in April 2024 to breach Kurdish targets via Output Messenger.

thehackernews.com

Turkey-Aligned Hackers Targeted Iraq-Based Kurds with Zero-Day Exploit

Marbled Dust has been exploiting a vulnerability in user accounts associated with the Kurdish military operating in Iraq for over a year, according to Microsoft

www.infosecurity-magazine.com

Sea Turtle, Teal Kurma, Marbled Dust, Cosmic Wolf, SILICON, Group G1041 | MITRE ATT&CK®

attack.mitre.org

LevelBlue - Open Threat Exchange

Learn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.

otx.alienvault.com

 

[intikam21 cyber]

İlginç siyaset yapmak istemiyorum ama madem bu kürt saldırılarını durduruyorlar o zaman türkiye neden bunları hacklemek için görevlendirsin ki garip geldi bana birşey yanlış ama hangisi

 

[BruteKing]

İlginç siyaset yapmak istemiyorum ama madem bu kürt saldırılarını durduruyorlar o zaman türkiye neden bunları hacklemek için görevlendirsin ki garip geldi bana birşey yanlış ama hangisi

haber kaynağında şu yazıyor: "Nisan 2024’ten bu yana" yani yeni değil.

 

[intikam21 cyber]

haber kaynağında şu yazıyor: "Nisan 2024’ten bu yana" yani yeni değil.

Farketmemişim bilgilendirdiğin için teşekkürler.

 

[haz3root]

Microsoft, Türk casuslarının Irak'taki Kürt ordusu hakkında bilgi toplamak için bir mesajlaşma uygulamasındaki sıfır günlük bir açığı kullandığını ve saldırıların bir yıldan fazla bir süre önce başladığını bildirdi.

Output Messenger'daki sıfır gün (zero-day) açığını kullanarak Kürt hedeflere Golang arka kapılar yerleştirdi.

Microsoft’un açıklamasına göre, Marbled Dust (diğer adlarıyla Silicon, Cosmic Wolf, Sea Turtle, Teal Kurma, UNC1326) adlı tehdit aktörü, Hindistan merkezli Output Messenger isimli kurumsal iletişim platformundaki CVE-2025-27920 numaralı zafiyeti kullanarak Nisan 2024’ten bu yana casusluk faaliyetleri yürütüyor.

Hedefler:

• Irak’taki Kürt askeri yapılar ve sistemler
• Kürt siteleri (daha önce Hollanda’daki bazı Kürt siteleri de hedef alınmıştı)

Saldırı zinciri şu şekilde ilerliyor:

1. Saldırganlar Output Messenger Server Manager’a erişim sağlıyor (DNS hijacking ya da sahte domain'lerle kimlik bilgisi çalma yöntemleri kullanılıyor).
2. CVE-2025-27920 açığı kullanılarak "OM.vbs", "OMServerService.vbs" ve "OMServerService.exe" adlı dosyalar hedef sunucuya bırakılıyor.
3. Bu dosyalar sayesinde Golang tabanlı bir arka kapı (backdoor) sisteme yerleştiriliyor ve "api.wordinfos[.]com" adresine veri sızdırılıyor.
4. İstemci tarafında da benzer şekilde Golang backdoor içeren bir yükleyici çalıştırılıyor.

Microsoft ayrıca, CVE-2025-27921 numaralı başka bir XSS açığı keşfetmiş olsa da, bunun henüz gerçek saldırılarda kullanılmadığını belirtti.

Sonuç olarak:

Bu saldırı, Marbled Dust grubunun teknik kapasitesinde ciddi bir artış olduğunu ve hedefleme önceliklerinin değişmiş olabileceğini gösteriyor.
KAYNAK:

Türkiye Hackers Exploited Output Messenger Zero-Day to Drop Golang Backdoors on Kurdish Servers

CVE-2025-27920 exploited by Marbled Dust in April 2024 to breach Kurdish targets via Output Messenger.

thehackernews.com

Turkey-Aligned Hackers Targeted Iraq-Based Kurds with Zero-Day Exploit

Marbled Dust has been exploiting a vulnerability in user accounts associated with the Kurdish military operating in Iraq for over a year, according to Microsoft

www.infosecurity-magazine.com

Sea Turtle, Teal Kurma, Marbled Dust, Cosmic Wolf, SILICON, Group G1041 | MITRE ATT&CK®

attack.mitre.org

LevelBlue - Open Threat Exchange

Learn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.

otx.alienvault.com

Ellerine sağlık king.