UNC5221
UNC5221, dünya çapında hükümet, savunma, kritik altyapı ve yüksek değerli işletmelere sızmak için özel malware ve kalıcılık teknikleri kullanan, internete dönük cihazların istismarı konusunda uzmanlaşmış, Çin devlet destekli bir casusluk grubudur.

UNC5221'in Kökeni
UNC5221, ilk olarak 2023'ün sonlarında Mandiant tarafından kamuya açık olarak tanımlanan, Çin devlet destekli bir Gelişmiş Kalıcı Tehdit (APT) grubudur. Grup, internete dönük altyapıya, özellikle de VPN cihazlarına ve uç cihazlara odaklanan yüksek hedefli casusluk kampanyalarıyla tanınmaktadır. UNC5221, kalıcı erişimi sürdürme, veri sızdırma ve ağ gözetimi dahil olmak üzere uzun vadeli stratejik hedeflerle tutarlı bir karmaşıklık düzeyinde faaliyet göstermektedir.
- İlişkilendirme: Çin bağlantılı siber casusluk operasyonlarıyla bağlantılı, muhtemelen Devlet Güvenlik Bakanlığı'nı (MSS) destekliyor.
- Motivasyon: Casusluk ve hassas sistemlere ve verilere uzun süreli erişim.
- Operasyonel Odak: Zero-day istismarı, gizli malware implantları ve uç altyapıda kalıcılık.
UNC5221 Tarafından Hedeflenen Ülkeler
UNC5221'in mağduriyeti çeşitli bölgeleri kapsamaktadır:
- Kuzey Amerika: Federal kurumlar ve altyapıdaki hedeflerle birlikte Amerika Birleşik Devletleri dahil.
- Avrupa: Özellikle Birleşik Krallık ve müttefik hükümet organları.
- Orta Doğu ve Asya-Pasifik: Suudi Arabistan ve diğer bölgesel enerji ve kamu sektörleri dahil.
UNC5221'in Hedeflediği Sektörler
UNC5221 öncelikle jeopolitik istihbarat öncelikleriyle uyumlu sektörleri hedeflemektedir:
- Kritik Altyapı: Enerji, su ve doğal gaz sağlayıcıları.
- Hükümet ve Savunma: Bakanlıklar, düzenleyici kurumlar ve orduya bağlı kuruluşlar.
- Teknoloji ve İmalat: Tıbbi teknoloji, havacılık ve ileri imalat.
- Finansal Kurumlar: Bankalar ve düzenleyici kurumlar.
Bilinen Kurbanlar
Saldırı Aşamaları

VPN cihazlarındaki (örn. Ivanti, Citrix) zero-day ve n'inci gün güvenlik açıklarını istismar eder.

Sistem düzeyinde erişime sahip özel damlalıklı malware yükler.

EDR ve SIEM tespitini atlamak için bellek içi yükler, günlük kurcalama ve trojanize ikili dosyalar kullanır.

Cihaz giriş sayfalarına gömülü keylogger'lar ve kimlik bilgisi hırsızları dağıtır.

Dahili ağ topolojisini haritalamak için numaralandırma araçlarını ve özel komut dosyalarını yürütür.

Ağ segmentleri arasında hareket etmek için çalınan kimlik bilgilerinden ve SSH arka kapılarından yararlanır.

Trafiği izler ve hassas belgeleri veya kimlik bilgilerini çıkarır.

Yükün yürütülmesi için Bash komut dosyalarını, Python yardımcı programlarını ve BusyBox komutlarını kullanır.

Verileri şifrelenmiş SSH kanalları veya gömülü araçlar aracılığıyla tüneller.

Öncelikli olarak gizlilik ve sürekliliğe odaklanır, yıkıma değil. Amaç uzun vadeli casusluk.

VPN cihazlarındaki (örn. Ivanti, Citrix) zero-day ve n'inci gün güvenlik açıklarını istismar eder.

Sistem düzeyinde erişime sahip özel damlalıklı malware yükler.

EDR ve SIEM tespitini atlamak için bellek içi yükler, günlük kurcalama ve trojanize ikili dosyalar kullanır.

Cihaz giriş sayfalarına gömülü keylogger'lar ve kimlik bilgisi hırsızları dağıtır.

Dahili ağ topolojisini haritalamak için numaralandırma araçlarını ve özel komut dosyalarını yürütür.

Ağ segmentleri arasında hareket etmek için çalınan kimlik bilgilerinden ve SSH arka kapılarından yararlanır.

Trafiği izler ve hassas belgeleri veya kimlik bilgilerini çıkarır.

Yükün yürütülmesi için Bash komut dosyalarını, Python yardımcı programlarını ve BusyBox komutlarını kullanır.

Verileri şifrelenmiş SSH kanalları veya gömülü araçlar aracılığıyla tüneller.

Öncelikli olarak gizlilik ve sürekliliğe odaklanır, yıkıma değil. Amaç uzun vadeli casusluk.
UNC5221 tarafından kullanılan TTP'ler
Vectra AI ile UNC5221 Nasıl Tespit Edilir
Sıkça Sorulan Sorular
UNC5221'i diğer APT'lerden farklı kılan nedir?
UNC5221, geleneksel uç noktalardan kaçınarak neredeyse yalnızca VPN'ler ve güvenlik duvarları gibi uç cihazlara odaklanmaktadır. Saldırıları özel, cihaza özgü implantlar ve gizli bellek içi yükler içeriyor.
UNC5221 tipik olarak nasıl tespit edilir?
Geleneksel EDR ile tespit edilmeleri zordur. Tespit, ağ tabanlı anomali tespiti, cihazlarda dosya bütünlüğü izleme ve davranışsal göstergelere dayanır. Vectra AI Platformu, uç nokta ajanlarının tespit edemediği komut ve kontrol trafiğini, tünelleme davranışını ve SSH kötüye kullanımını tespit edebilir.
UNC5221 hangi güvenlik açıklarından yararlandı?
Önemli CVE'ler şunlardır:
- CVE-2023-46805, CVE-2024-21887 (Ivanti VPN)
- CVE-2023-4966 (Citrix NetScaler "Bleed")
- CVE-2025-0282 ve CVE-2025-22457 (Ivanti RCE açıkları)
Hangi sektörler en yüksek risk altında?
Yüksek değerli istihbarata sahip sektörler: devlet, savunma, enerji, teknoloji üretimi ve finans. Ivanti veya Citrix uç cihazlarına güvenen kuruluşlar özellikle maruz kalmaktadır.
UNC5221 kalıcılığını nasıl koruyor?
Cihazın kendisine kötü niyetli yerleştirmeler yoluyla, genellikle yeniden başlatma ve güncellemelerden kurtulur. İmplantlar sistem komut dosyalarına veya ürün yazılımına gömülüdür.
Standart yamalar onları durdurmak için yeterli mi?
Her zaman değil. UNC5221 genellikle yamadan kurtulan istismar sonrası malware yerleştirir. Cihazlar sadece yamalanmakla kalmamalı, yeniden görüntülenmeli veya değiştirilmelidir.
Hangi taviz göstergeleri (IOC'ler) mevcuttur?
Mandiant ve CISA tavsiyeleri şunları içerir:
- Kötü amaçlı CGI komut dosyaları
- Gömülü cihaz kullanıcılarından gelen anormal SSH bağlantıları
- Cihaz dizinlerinde beklenmeyen Python işlemleri veya olağandışı günlükler
UNC5221 verileri nasıl dışarı sızdırır?
Genellikle SSH tünelleri, şifreli kanallar veya SPAWNSNARE gibi gömülü araçlar aracılığıyla. Gürültülü protokollerden kaçınırlar ve genellikle çevre güvenlik duvarlarının radarı altında kalırlar.
Savunucular nasıl etkili bir şekilde yanıt verebilir?
- Şifrelenmiş ve yanal trafiği izlemek için Vectra AI gibi ağ algılama ve yanıt (NDR) araçlarını dağıtın.
- VPN ve güvenlik duvarı cihazlarını bütünlük açısından denetleyin.
- Sahte süreçleri veya yetkisiz SSH oturumlarını izleyin.
- Tehlike altındaki cihazları derhal izole edin.
UNC5221'in uzun vadeli hedefi nedir?
Kampanyaları, tespit edilmeden veya kesintiye uğramadan küresel olarak stratejik sektörlerde sessizce istihbarat toplamayı amaçlayan kalıcı bir casusluk hedefine işaret etmektedir.