Aralık 2025 başı itibarıyla siber güvenlik dünyası, APT grupları özelinde son yıllardaki en büyük sızıntılarından birine tanık oldu. İran Devrim Muhafızları (IRGC) ile doğrudan bağlantılı olduğu bilinen Charming Kitten (diğer adlarıyla APT35, Phosphorus) grubuna ait operasyonel kayıtlar, çalışan bilgileri ve iç işleyiş dokümanları "KittenBusters" adıyla GitHub üzerinden sızdırıldı.

Bu sızıntı, grubun 2012’den bu yana yürüttüğü faaliyetlerin perde arkasını ve özellikle Türkiye’ye yönelik faaliyetlerini de gün yüzüne çıkarıyor.

Siber güvenlik şirketleri tarafından 2012'den beri takip edilen bu grup, yıllar içinde APT35, Phosphorus ve Charming Kitten gibi 10’dan fazla farklı takma adla anıldı. Batılı istihbarat teşkilatları, grubu doğrudan İran İslam Devrim Muhafızları İstihbarat Teşkilatı’na (Unit 1500) bağlı bir karşı istihbarat birimi olarak tanımlıyor.

Araştırmacı Nariman Gharib’in analizlerine göre sızdırılan veriler, grubun en az iki yıllık (2024’e kadar uzanan) güncel operasyonel verilerini içeriyor.

Teknik Silah: ProxyShell ve Türkiye Hedefleri

Sızıntı dosyasındaki "All_Proxy_Shell_Targets" klasörü, grubun hangi ülkeleri radarına aldığını net bir şekilde gösteriyor: İran, Güney Kore, Kuveyt, Türkiye, Suudi Arabistan ve Lübnan.

ProxyShell nedir? 2021 yılında Microsoft Exchange sunucularında keşfedilen bu kritik açık zinciri, saldırganlara sistemlerde tam yetki sağlıyor. Kaspersky’nin o zamanki verileriyle de örtüşen sızıntılar, Türkiye’deki hedeflerin bu açık üzerinden normalin çok üzerinde bir yoğunlukla saldırıya uğradığını kanıtlıyor.

Bölgesel Hedefler ve Şaşırtıcı Detaylar

Grubun odak noktasında Orta Doğu’nun kilit oyuncuları yer alıyor. Hedef listesinde FlyDubai ve Dubai Polisi gibi kurumların yanı sıra Türkiye Dışişleri Bakanlığı da bulunuyor.

Ancak sızıntıdaki en çarpıcı detaylardan biri, Ürdün'deki Dünya İslam Bilimleri ve Eğitim Üniversitesi gibi İslami akademik kurumların da hedef alınmış olmasıdır. Bu durum, grubun ideolojik bir dayanışmadan ziyade saf istihbarat değerine odaklandığını; rejim çıkarları söz konusu olduğunda dini kurumları bile "gözetimden muaf" tutmadığını gösteriyor.

Türkiye’de Hedef Alınan Kurumlar

Sızdırılan belgeler, grubun Türkiye’deki devlet kurumlarına ve sanayi devlerine olan özel ilgisini ortaya koyuyor. APT35’in başlıca hedefleri arasında şunlar yer alıyor:

• Türkiye Dışişleri Bakanlığı
• Bahçelievler Belediyesi ve Mersin Büyükşehir Belediyesi
• Aydın ASKİ
• Akar Tekstil ve DCA Okulları
• Savunma sanayi şirketleri (son birkaç yıldır artan bir ilgiyle)

Buradaki hedef alma kısmının niyeti tam olarak bilinmesede daha fazla siber güvenlik açığı olan yerler kast edilmiş olabilir özellikle birkaç tanesi için. Listede detaylı yer almamasına karşın Türkiye'deki savunma sanayi şirketlerine yönelikte saldırılar özellikle son birkaç senedir revaçta denilebilir.

Fiziki Operasyonlara Siber Destek: "Sisters Team" ve İstanbul

Sızıntılarda ortaya çıkan en dikkat çeken kısım, dijital saldırıların fiziksel dünyadaki suikast girişimlerine nasıl temel hazırladığıdır. Grubun hiyerarşisinde, Niloofar Bagheri liderliğinde yaklaşık 20 kadından oluşan "Sisters Team" adlı bir birim bulunuyor.

Bu ekip, sadece sosyal mühendislik ve çeviri yapmakla kalmıyor, doğrudan istihbarat operasyonlarına katılıyor.

• Haziran 2022 İstanbul Operasyonu: 2022 yılının Haziran ayında ajanslara düşen haberlerde, Türkiye’deki İsrail vatandaşlarına suikast hazırlığında oldukları iddiasıyla İran uyruklu şüphelilere yönelik yürütülen operasyonlarda 5 kişi gözaltına alınmıştı. Şüphelilerin kaldığı ev ve otellerde yapılan aramalarda çok sayıda belge, dijital materyal ve 2 susturucu, 2 tabanca ele geçirilmişti.
• "Sisters Team", 1500. Tümen tarafından yönetilen İstanbul saldırı planını desteklemek amacıyla Türkiye'deki İsrail hedeflerine yönelik istihbarat toplama faaliyetlerinde doğrudan yer almış.
• Sızıntılar, "Sisters Team"in bu suikast planlarını desteklemek için İstanbul'daki İsrailli turistleri ve iş adamlarını araştırdığını gösteriyor. Hatta Şalom Gazetesi'nin bu saldırıyla ilgili haberinde, hedef alınanlardan ikisinin şehirde bir otelde kalan İsrail eski büyükelçisi ve eşi olduğu belirtilmiş.

Gözetim ve Paravan Şirketler: Tecret ve Kashef

İran siber ordusu, yetenekli uzmanları bünyesine katmak için BAE ve Türkiye’de "Tecret Platform" adında paravan şirket kurmuş. Görünürde kariyer platformu olan bu yapılar, aslında Devrim Muhafızları’nın operasyonlarına insan kaynağı sağlayan birer filtre görevi görme amacı taşıyor.

Sızdırılan verilerden elde edilen bazı videolardan, Kashef Gözetim Sistemi/Platformu'na yönelik ek bilgiler elde edilmiş. Kashef platformu, her biri belirli coğrafi veya demografik hedeflerden sorumlu olan İran Devrim Muhafızları İstihbarat Teşkilatı'nın çeşitli departmanlarından gelen verileri bir araya getiriyor: Odak alanları kapsamında Basra Körfezi, İsrail, ABD ve yabancı uyruklular yer alıyor.

Bunların yanında Kashef Gözetim Sistemi'nde İranlıların yabancı ülkelere seyahatleri, yurtdışındaki öğrenciler, çifte vatandaşlar, diplomatik tesislere ziyaretler, İran Büyükelçiliği personeli, yabancı kuruluşlarla ilgili şirketler ve uluslararası gazeteciler ile ilgili de kayıtlara rastlanılmış.

Yine bu sistem üzerinden Tahran'daki yabancı diplomatik binalara yapılan ziyaretler kayıt altına alınmış. Örnek kayıtlar, Almanya, Türkiye, Japonya ve Güney Afrika dahil olmak üzere büyükelçiliklerin gözetim altında tutulduğunu ortaya koyuyor. Her bir ziyaret için ziyaretçinin ikamet durumu, Büyükelçilik veya ziyaret edilen ülke, Araç bilgileri (marka, model, renk), Plaka numarası, Ziyaret tarihi, giriş ve çıkış saatleri, istihbarat notları ve referans dosya numarası tutulmuş.

İstihbarat notları alanı ile ilgili olarak, diplomatik ziyaretçiler hakkında bilgi veren insan istihbarat kaynaklarını gösteren "İç ajanlar" ve "Büyükelçilik ajanları" gibi açıklamalar içeriyor.

Sonuç olarak

KittenBusters sızıntısı, modern siber savaşın artık sadece bilgisayar ekranlarında bitmediğini, sokaktaki insana ve fiziksel güvenliğe kadar uzandığını kanıtlıyor.

Verilerin detaylı analizi için araştırmacı Nariman Gharib’e teşekkürler.