2025’te Yeni Phishing Kit ve Malware ile Evrilen Dağınık Örümcek

Kötü ünü olan hacking grubu Scattered Spider, geçtiğimiz yıl yapılan çok sayıda tutuklamaya rağmen 2025’te ciddi bir siber güvenlik tehdidi olmaya devam ediyor.

Grup, sofistike sosyal mühendislik taktikleri kullanıyor ancak yöntemlerini yeni phishing kitleri ve güncellenmiş Spectre RAT malware’ı kullanarak yüksek profilli şirketlere saldırmak için evrimleştirdi.

Siber güvenlik firması Silent Push‘a göre, Scattered Spider, Nike, T-Mobile, Louis Vuitton ve Vodafone da dahil olmak üzere büyük markalara saldırılarda aktif olarak yer alıyor. Ayrıca hedeflerini Pure Storage ve Klaviyo gibi bulut depolama ve pazarlama platformlarını da içerecek şekilde genişlettiler.

2022’den beri aktif olan grup, başlangıçta Twilio ve MGM Resorts gibi şirketlere sızarak tanındı. Bunu, çalışanları sahte giriş portalları aracılığıyla kullanıcı adları ve MFA kodlarını vermeye ikna ederek gerçekleştirdi.

2024’te, iddia edilen liderleri Tyler Buchanan dahil olmak üzere birçok üye tutuklandı, ancak grup, Silent Push’un açıkladığı gibi, büyük olasılıkla yeni üyeler ve geliştiricilerin araçlarını ve tekniklerini geliştirerek tekrar hayata döndü.

Bu yılın en dikkat çeken evrimlerinden biri, şimdi Cloudflare’de barındırılan Phishing Kit #5’ı benimsemeleridir. Silent Push, şu anki sürümün, kullanıcıları Rick Astley’in “Never Gonna Give You Up” şarkısına yönlendiren önceki sürümlerden daha gizli işlediğini ve tespit etmesinin daha zor olduğunu açıklıyor.

Bir başka rahatsız edici değişiklikle, grup, meşru hizmetleri taklit eden klv1.it[.]com gibi halka açık olarak kiralanabilir alt alan adlarını kullanmaya başladı. Bu alt alan adları, genellikle dinamik DNS sağlayıcılarına bağlıdır ve geleneksel alan adı tescilinin olmaması nedeniyle izlemesi daha zor olur.

Silent Push, organizasyonların bu tür alan adlarını ağ seviyesinde engellemeyi düşünerek maruz kalma risklerini azaltmaları gerektiği konusunda uyarıyor.

Ayrıca, Scattered Spider, Twitter/X tarafından bir zamanlar sahip olunan bir domainin yeniden edinilmesiyle bağlantılandırılmıştır: twitter-okta[.]com. Domainin gelecek kampanyalarda kullanılıp kullanılmayacağı belirsiz olsa da, bu durum grubun gözden kaçan veya terk edilen dijital varlıkları istismar etme konusundaki ısrarını vurgulamaktadır, diyor Silent Push.

Scattered Spider grubu, altyapılarını ve zararlı yazılımlarını uyarlayabilme ve yeni saldırı vektörleri bulabilme yetenekleri nedeniyle 2024’te tehlikeli bir tehdit olarak evrimleşmeye devam ediyor. Grubun süregelen evrimi, operasyonlarını tamamlamadıklarını gösteriyor.

Organizasyonların, bu sürekli siber suç örgütünden gelebilecek saldırıları önlemek için güncel güvenlik önlemlerini sürdürme ve alışılmadık davranışları izlerken dikkatli olmaları gerekmektedir.