Siber güvenlik dünyasında APT grubu kavramı uzun süredir biliniyor. Ancak her yeni keşif, devlet kurumları için riskin hâlâ canlı olduğunu bir kez daha gösteriyor. APT grubu olarak tanımlanan ve LongNosedGoblin adı verilen yeni bir yapılanma, Güneydoğu Asya ve Japonya’daki kamu ağlarını hedef alan dikkat çekici bir siber casusluk kampanyasıyla gündeme geldi. Bulgular, Avrupa merkezli ESET araştırmacıları tarafından paylaşıldı.
APT grubu nasıl ortaya çıktı
Araştırmaya göre grup, Windows sistemlerde yaygın olarak kullanılan Grup İlkesi mekanizmasını kötüye kullanıyor. Bu yöntemle zararlı yazılımlar, ağ içinde fark edilmeden yayılabiliyor. Özellikle Active Directory kullanan devlet kurumları, bu yaklaşım nedeniyle ciddi risk altında bulunuyor. Ayrıca saldırılar, yalnızca tek bir makineyle sınırlı kalmıyor ve yatay hareket kabiliyetiyle tüm ağa yayılabiliyor.
APT grubu LongNosedGoblin’in faaliyet alanı
ESET Research ekibi, 2024 yılında Güneydoğu Asya’daki bir devlet kurumunun ağında daha önce belgelenmemiş bir zararlı yazılım tespit etti. Bulgulara göre APT grubu Eylül 2023’ten bu yana aktif. Üstelik 2025’in son çeyreğinde grubun bölgedeki operasyonlarını yeniden hızlandırdığı gözlemlendi. Komuta ve kontrol altyapısı için bulut servislerinin tercih edilmesi, saldırıların izini sürmeyi zorlaştırıyor.
LongNosedGoblin, klasik casusluk araçlarının ötesine geçen zengin bir yazılım seti kullanıyor. Bu araçlar, hem veri toplamayı hem de ağ içinde kalıcı olmayı hedefliyor:
- Tarayıcı geçmişi ve kullanıcı alışkanlıklarını izleyen bilgi toplama yazılımları
- Sistem bilgilerini toplayıp uzaktaki sunuculara aktaran arka kapılar
- Dosya silme, veri sızdırma ve komut çalıştırma yetenekleri
- Tuş vuruşlarını kaydeden ve ses–video yakalama potansiyeli olan modüller
Bu yapı, APT grubunun sadece bilgi toplamakla yetinmediğini, uzun vadeli erişim hedeflediğini gösteriyor.
ESET araştırmacıları, farklı teknikler kullanan ve Yandex Disk’i kontrol sunucusu olarak kullanan başka bir NosyDoor varyantı da tespit etti. Bu örnek, kötü amaçlı yazılımların Çin bağlantılı birden fazla tehdit grubu arasında paylaşılabileceğine işaret ediyor. Dolayısıyla tehdit, tek bir aktörle sınırlı kalmayabilir.
Devlet kurumları için sessiz ama kalıcı bir tehdit
LongNosedGoblin vakası, siber casusluğun hâlâ düşük görünürlükle yürütülebildiğini açıkça gösteriyor. Özellikle kamu ağlarında merkezi yönetim araçlarının yanlış yapılandırılması, bu tür saldırılara davetiye çıkarıyor. Savunma tarafında ise sadece imza tabanlı çözümler değil, davranış analizi ve sürekli izleme artık zorunlu hâle geliyor.
