Siber casusluğun yeni hedefleri yapay zekâ, enerji ve savunma sektörü oldu

Siber güvenlik şirketi ESET, 2025 yılının Ekim ayı ile 2026 yılının Mart ayını kapsayan Gelişmiş Kalıcı Tehdit (APT) Faaliyet Raporu'nu yayımladı. Raporda, Çin, Rusya, Kuzey Kore ve İran bağlantılı siber grupların dünya genelinde yürüttüğü casusluk ve siber saldırı faaliyetlerine dikkat çekildi.

Rapora göre Çin bağlantılı tehdit aktörleri, Venezuela, Suriye, Körfez ülkeleri ve Güney Kore başta olmak üzere birçok bölgede aktif faaliyet yürüttü. Özellikle denizcilik, enerji ve yapay zekâ sektörlerinin hedef alındığı belirtilirken, Güney Kore'de faaliyet gösteren bir yapay zekâ ve robotik şirketinin de saldırı girişimlerine maruz kaldığı kaydedildi.

Çin bağlantılı gruplar kritik sektörleri hedef aldı

ESET'in raporunda, Çin bağlantılı FamousSparrow grubunun Venezuela'da denizcilik faaliyetleriyle bağlantılı bir devlet kurumunu hedef aldığı belirtildi. Bir diğer grup olan SteppeDriver'ın ise Suriye devlet ağına yönelik faaliyet yürüttüğü ifade edildi.

Raporda, “Çin ile bağlantılı UNC5221'in SPAWN kötü amaçlı yazılım ailesi, Kamboçya ve Panama'daki devlet kurumlarının yanı sıra Güney Kore'deki bir yapay zekâ ve robotik şirketini hedef aldı” ifadelerine yer verildi.

Birleşik Arap Emirlikleri'nde faaliyet gösteren bir savunma şirketinin de siber saldırıya uğradığı belirtilirken, Arapça konuşan kullanıcıları hedef alan Android casus yazılımlarının kullanıldığı kaydedildi.

Kuzey Kore nükleer enerji alanına yöneldi

Raporda Kuzey Kore bağlantılı tehdit gruplarının faaliyetlerine de geniş yer verildi. Özellikle Andariel grubunun Güney Kore'de faaliyet gösteren ve nükleer enerji ile sıvı hidrojen teknolojileri alanında çalışan bir mühendislik şirketini hedef aldığı belirtildi.

ESET tarafından yapılan değerlendirmede, “Grup, bu saldırılarda TigerRAT'ı kullandı ve sıvı hidrojen işleme ve nükleer enerji endüstrisiyle ilgili ekipman ürettiği görülen bir mühendislik şirketi içinde Rook fidye yazılımını yaymaya çalıştı” denildi.

Kuzey Kore bağlantılı grupların ayrıca kripto para ekosistemi ve yazılım geliştiricilerine yönelik sosyal mühendislik saldırılarını sürdürdüğü ifade edildi.

Rusya bağlantılı saldırılar Ukrayna’ya odaklandı

Rapora göre Rusya yanlısı tehdit aktörleri faaliyetlerini büyük ölçüde Ukrayna ve Ukrayna'nın savunma altyapısı üzerinde yoğunlaştırdı. Sednit grubunun Ukraynalı askeri personel, insansız hava aracı üreticileri ve savunma sanayiiyle bağlantılı kuruluşları hedef aldığı belirtildi.

Sandworm grubunun ise Ukrayna'da kamu ve özel sektör kuruluşlarına yönelik veri silme amaçlı saldırılar gerçekleştirdiği kaydedildi. Raporda, Aralık 2025'te Polonya'daki bir enerji şirketine yönelik gerçekleştirilen veri imha saldırısının da Sandworm grubuna atfedildiği belirtildi.

İsrail’e yönelik saldırılarda artış görüldü

Raporda ayrıca İran'da yaşanan gelişmeler sonrasında İsrail hedeflerine yönelik siber faaliyetlerde dikkat çekici bir artış yaşandığı ifade edildi. Daha önce herhangi bir grupla ilişkilendirilemeyen Rusty Boots ve MoKhargosh isimli saldırı kümelerinin İsrail'e yönelik casusluk ve yıkıcı faaliyetler gerçekleştirdiği belirtildi.

ESET raporunda, “Kaynağı bilinmeyen iki faaliyet kümesi, Rusty Boots ve MoKhargosh, İsrail'e karşı hem casusluk yetenekleri hem de yıkıcı potansiyel sergiledi” ifadeleri kullanıldı.

Siber tehditlerin giderek daha stratejik alanlara yöneldiğinin vurgulandığı raporda, yapay zekâ, enerji, savunma sanayii, devlet kurumları ve kritik altyapıların küresel ölçekte en fazla hedef alınan alanlar arasında yer aldığı belirtildi.