Tehdit İstihbaratında Yeni Dönem: “Forbidden Hyena” Yapay Zekayı Doğrudan Saldırı Silahına Çevirdi!

Siber güvenlik dünyasında “Saldırganlar yapay zekayı nasıl kullanacak?” sorusunun teorik tartışmaları sona erdi. Araştırmacıların yayımladığı en güncel raporlar, Forbidden Hyena adlı tehdit aktörünün Üretken Yapay Zekayı doğrudan aktif operasyonlarında  kullanmaya başladığını kanıtlıyor.

İlk olarak 2025’in başlarında Rusya’daki kritik altyapıları, sağlık ve enerji sektörlerini hedef alan bir hacktivist grup olarak ortaya çıkan Forbidden Hyena, artık geleneksel şantaj ve fidye yazılımı (Ransomware) taktiklerini yapay zeka ile harmanlıyor. CUMBUR.NET okuyucuları için bu grubun kullandığı yöntemleri ve en güncel tehdit araçlarını tüm teknik detaylarıyla masaya yatırıyoruz.

🤖 Teoriden Pratiğe: Kod Üreten Yapay Zeka Sahnede

Grubun Komuta Kontrol (C2) sunucularında yapılan derinlemesine incelemeler, siber saldırıların farklı aşamalarında kullanılmak üzere doğrudan Üretken Yapay Zeka ile yazılmış komut dosyaları barındırdıklarını ortaya çıkardı.

Saldırganlar yapay zekayı şu kritik aşamalar için kullanıyor:

• Kalıcılık (Persistence): Sisteme kalıcı olarak yerleşmeyi sağlayan PowerShell betikleri üretmek.

• Yasal Araç İstismarı (LOLBins): Hedef sisteme AnyDesk gibi uzaktan erişim araçlarını kurmak için tasarlanmış betikler hazırlamak.

• Araç İndirme ve Gizleme: Penetrasyon testlerinde de sıkça kullanılan Sliver implantını (C2 aracı) indirip, tespit edilmesini zorlaştırmak amacıyla bash betikleri oluşturmak.

Nasıl Tespit Edildi? Analistler, bu dosyaların yapay zeka tarafından üretildiğini kesinleştirdi. Çünkü kodların içinde gereksiz hata ayıklama (debug) metinleri, aşırı açıklayıcı yorum satırları ve insan eliyle yazılmış zararlılarda sıkça görülen standart karmaşıklaştırma  tekniklerinin eksikliği gibi karakteristik “AI kod imzaları” bulunuyordu.

🎯 Yeni Nesil Cephanelik: BlackReaperRAT ve Milkyway

Forbidden Hyena, hedeflerine sızmak ve fidye koparmak için geleneksel araçların ötesine geçerek kendi özel zararlı yazılımlarını geliştirdi.

1. BlackReaperRAT (Yeni Keşfedildi)

Daha önce siber güvenlik literatüründe belgelenmemiş olan bu Uzaktan Erişim Truva Atı (RAT), tam anlamıyla bir arka kapı (backdoor) işlevi görüyor.

• Çalışma Mantığı: Zararlı yazılım, wscript.exe veya cscript.exe süreçleri üzerinden çalışan bir VBS scripti olarak dizayn edilmiş.

• Çakışma Kontrolü: Yazılım, aynı sistemde birden fazla kopyasının çalışıp sistemi çökertmesini veya dikkat çekmesini engellemek için %LOCALAPPDATA% veya %TEMP% dizininde run.lock adında bir kontrol dosyası oluşturuyor.

2. Milkyway Ransomware

Grubun nihai amacı hedefin altyapısını şifreleyip Monero gibi anonim kanallar üzerinden fidye istemektir. Bu doğrultuda, bilinen Blackout Locker fidye yazılımının kaynak kodlarını modifiye ederek Milkyway adıyla yeniden markaladılar. Şifrelenen tüm dosyalar artık .milkyway uzantısını alıyor.

🔵 SOC ve Mavi Takım (Blue Team) Acil Eylem Planı

Yapay zeka araçlarının ve AnyDesk gibi yasal işletim sistemi yardımcı programlarının aktif saldırılarda kullanılması, imza tabanlı (signature-based) tespit sistemlerini kör ediyor. SOC yöneticilerinin ve Tehdit Avcılarının aşağıdaki adımları acilen devreye alması gerekiyor:

1. VBS ve BAT Süreçlerinin İzlenmesi: Özellikle arşiv dosyaları (ZIP, RAR) içinden çıkarılarak wscript.exe veya cscript.exe aracılığıyla çalıştırılan VBS ve BAT dosyaları EDR üzerinde sıkı takibe alınmalıdır.

2. ProgramData Dizini Kontrolü: %PROGRAMDATA% dizininde oluşturulan, rastgele isimlendirilmiş (örneğin: [0-9a-zA-Z]{14}.vbs) şüpheli dosyalara karşı SIEM/EDR alarmleri oluşturulmalıdır.

3. RMM Araçlarının Sınırlandırılması: AnyDesk, TeamViewer gibi yasal uzaktan yönetim araçlarının yetkisiz veya sessiz kurulumlarına karşı sıfır tolerans politikası izlenmelidir.

4. USB ve Harici Sürücü Tespiti: Grubun USB bellekler ve harici diskler üzerinden ağ içinde yatay hareket  yapma riski yüksek olduğundan, System Volume Information dizinine yapılan şüpheli kopyalama işlemleri anlık olarak izlenmelidir.

5. PowerShell Loglama: PowerShell Script Block Logging (Event ID 4104) kesinlikle aktif edilmeli ve anomali tespiti için kullanılmalıdır.

💡 Stratejik Bakış

Forbidden Hyena vakası, tehdit aktörlerinin yeteneklerinde büyük bir sıçramayı temsil ediyor. Hacktivizm ile başlayan süreç, yapay zekanın kod yazma becerileri ve fidye yazılımlarının yıkıcı gücüyle birleşti. Savunma ekiplerinin statik kurallardan sıyrılıp, tamamen davranışsal analiz ve yapay zeka destekli tehdit avcılığı modellerine geçiş yapması artık bir seçenek değil, zorunluluktur.