APT35

Charming Kitten olarak da bilinen APT35, en az 2013'ten beri aktif olan, sofistike sosyal mühendislik kampanyaları ve hükümet, akademik ve özel sektörlerdeki jeopolitik rakipleri ısrarla hedef almasıyla bilinen, devlet destekli bir İran siber casusluk grubudur.

Kuruluşunuz APT35'in Saldırılarına Karşı Güvende mi?

APT35'in kökeni

Charming Kitten, Magic Hound, Mint Sandstorm, COBALT ILLUSION, TA453 ve PHOSPHORUS olarak da bilinen APT35, İran Devrim Muhafızları Ordusu (IRGC) ile bağlantılı bir siber casusluk grubudur. En az 2013'ten beri aktif olan grup, İran'ın jeopolitik öncelikleriyle uyumlu istihbarat toplamaya odaklanmaktadır. Başlıca operasyonel özellikleri, düşman olarak algılanan veya İran'ın stratejik ilgi alanına giren kişi ve kuruluşları hedef almak için sosyal mühendislik ve phishing kullanımıdır.

APT35'in taktikleri titizdir, genellikle sahte kişilikler yaratır ve kimlik bilgisi toplama ve malware dağıtımı yapmak için meşru platformlardan (ör. LinkedIn, Google Drive) yararlanır. Grup, çok çeşitli küresel hedeflere karşı uzun vadeli ve ısrarlı kampanyalarıyla bilinmektedir.

APT35 Tarafından Hedeflenen Ülkeler

APT35 öncelikle Amerika Birleşik Devletleri, Birleşik Krallık, İsrail ve Suudi Arabistan'daki kuruluşları hedef almaktadır, ancak kampanyaları Almanya, Irak, Avustralya, İran (içerideki muhalifler) ve Arnavutluk gibi ülkelere de ulaşmıştır. Bu bölgeler jeopolitik duruşları, diaspora nüfusları veya İran rejimini eleştiren muhaliflere ve gazetecilere ev sahipliği yapmaları nedeniyle stratejik olarak önemlidir.

APT35 Tarafından Hedeflenen Sektörler

APT35'in operasyonları birden fazla sektörü kapsamaktadır. Yüksek öncelikli hedefler arasında hükümet, savunma, askeri ve istihbarat sektörleri yer almaktadır ve genellikle stratejik bilgiler toplamak veya hassas verileri dışarı sızdırmak için kullanılmaktadır. Ayrıca muhalif söylemleri ve politika tartışmalarını izlemeyi amaçlayan akademik kurumlar, medya kuruluşları, düşünce kuruluşları ve STK'lara karşı da aktiftirler. Petrol ve gaz, ilaç, havacılık, teknoloji, sağlık, finansal hizmetler ve enerji gibi sektörler de sıklıkla etkilenmekte ve bu da ekonomik ve siyasi casusluk hedeflerinin geniş bir kapsamına işaret etmektedir.

APT35'in Kurbanları

Öne çıkan kurbanlar arasında ABD ve Avrupa hükümet personeli, İsrailli akademik kurumlar ve Dünya Sağlık Örgütü (WHO) gibi kuruluşlar yer almaktadır. 2025 yılında, İsrailli bir akademik kurum Google Drive'da barındırılan kötü niyetli bir LNK dosyasıyla özellikle hedef alındı ve bu durum ABD merkezli düşünce kuruluşlarına yönelik önceki saldırılarda kullanılan taktikleri yansıtıyordu.

Saldırı Yöntemi

APT35'in saldırı yöntemi

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.

Öncelikle phishing e-postaları ve LinkedIn ve WhatsApp gibi platformlarda sosyal mühendislik yoluyla kazanılır. Hedefleri kandırmak için sahte kişilikler ve meşru görünen web siteleri kullanılır.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.

Varsayılan veya yönetici hesapları oluşturmayı veya etkinleştirmeyi, ayrıcalıkları artırmak için PowerShell veya Mimikatz gibi araçları kullanmayı içerir.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.

Grup antivirüs, olay günlükleri ve LSA korumasını devre dışı bırakır; ayrıca tespit edilmekten kaçınmak için maskeleme ve gizleme teknikleri kullanırlar.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.

Tarayıcılardan ve VPN'lerden kimlik bilgilerini çalar, LSASS belleğini boşaltır ve daha derin erişim elde etmek için Outlook Web Access'i (OWA) kötüye kullanır.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.

APT35, WMI, Ping ve nltest gibi araçları kullanarak kapsamlı ana bilgisayar, ağ ve hesap keşfi gerçekleştirir.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.

Ağ üzerinde gezinmek için RDP, zamanlanmış görevler ve kopyalanmış araçlar kullanır.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.

E-posta toplama, keylogging, ekran görüntüsü yakalama ve hassas .PST dosyalarını ve LSASS dökümlerini toplamaya odaklanır.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.

PowerShell, VBS ve kötü amaçlı kısayol (LNK) dosyalarını kullanarak kötü amaçlı yükleri yürütür.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.

Veri sızıntısı için gzip, RAR gibi araçları ve Telegram API ve Google Drive gibi hizmetleri kullanır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.

Öncelikli olarak casusluğa odaklanmış olsa da APT35, BitLocker ve DiskCryptor kullanarak veri şifreleme yeteneklerini göstermiş ve bazı operasyonlarda fidye yazılımı potansiyeline işaret etmiştir.

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.
İlk Erişim

Öncelikle phishing e-postaları ve LinkedIn ve WhatsApp gibi platformlarda sosyal mühendislik yoluyla kazanılır. Hedefleri kandırmak için sahte kişilikler ve meşru görünen web siteleri kullanılır.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.
Ayrıcalık Yükseltme

Varsayılan veya yönetici hesapları oluşturmayı veya etkinleştirmeyi, ayrıcalıkları artırmak için PowerShell veya Mimikatz gibi araçları kullanmayı içerir.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.
Savunma Kaçırma

Grup antivirüs, olay günlükleri ve LSA korumasını devre dışı bırakır; ayrıca tespit edilmekten kaçınmak için maskeleme ve gizleme teknikleri kullanırlar.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.
Kimlik Bilgileri Erişimi

Tarayıcılardan ve VPN'lerden kimlik bilgilerini çalar, LSASS belleğini boşaltır ve daha derin erişim elde etmek için Outlook Web Access'i (OWA) kötüye kullanır.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.
Keşif

APT35, WMI, Ping ve nltest gibi araçları kullanarak kapsamlı ana bilgisayar, ağ ve hesap keşfi gerçekleştirir.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.
Yanal Hareket

Ağ üzerinde gezinmek için RDP, zamanlanmış görevler ve kopyalanmış araçlar kullanır.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.
Koleksiyon

E-posta toplama, keylogging, ekran görüntüsü yakalama ve hassas .PST dosyalarını ve LSASS dökümlerini toplamaya odaklanır.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.
Yürütme

PowerShell, VBS ve kötü amaçlı kısayol (LNK) dosyalarını kullanarak kötü amaçlı yükleri yürütür.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.
Sızma

Veri sızıntısı için gzip, RAR gibi araçları ve Telegram API ve Google Drive gibi hizmetleri kullanır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.
Etki

Öncelikli olarak casusluğa odaklanmış olsa da APT35, BitLocker ve DiskCryptor kullanarak veri şifreleme yeteneklerini göstermiş ve bazı operasyonlarda fidye yazılımı potansiyeline işaret etmiştir.

MITRE ATT&CK Haritalama

APT35 tarafından kullanılan TTP'ler

TA0001: Initial Access
T1566
Phishing
T1189
Drive-by Compromise
T1078
Valid Accounts
TA0002: Execution
T1204
User Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1136
Create Account
T1098
Account Manipulation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1221
Template Injection
T1036
Masquerading
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1555
Credentials from Password Stores
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1482
Domain Trust Discovery
T1082
System Information Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1570
Lateral Tool Transfer
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1125
Video Capture
T1123
Audio Capture
T1119
Automated Collection
T1114
Email Collection
T1113
Screen Capture
TA0011: Command and Control
T1102
Web Service
T1573
Encrypted Channel
T1572
Protocol Tunneling
T1571
Non-Standard Port
T1219
Remote Access Software
T1132
Data Encoding
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1486
Data Encrypted for Impact
Platform Tespitleri

Vectra AI ile APT35 Nasıl Tespit Edilir

Vectra AI Platformunda bulunan ve bir APT saldırısına işaret edebilecek Tespitlerin listesi.

Sıkça Sorulan Sorular

APT35 kiminle bağlantılıdır?

APT35'i diğer İranlı gruplardan farklı kılan nedir?

İlk erişim için birincil taktikleri nelerdir?

APT35 tarafından hangi malware araçları kullanılıyor?

APT35 tespit edilmekten nasıl kaçıyor?

Sıfır gün veya belirli CVE'leri kullandıkları biliniyor mu?

Kuruluşlar APT35 faaliyetini nasıl tespit edebilir?

Hangi C2 tekniklerini kullanıyorlar?

APT35'in phishing 'i nasıl azaltılabilir?

Hangi tespit araçları APT35'i durdurmaya yardımcı olabilir?