Uluslararası siber suçla mücadele girişimi Operation Endgame’in yeni aşamasında, Amadey botneti ile Stealc bilgi hırsızının kullandığı altyapılar hedef alındı. ESET’in teknik veri sağladığı operasyonda güvenlik şirketleri ile Avrupa’daki kolluk birimleri, zararlı yazılımların komuta ve kontrol sistemlerini kesintiye uğratmak için birlikte çalıştı.
ESET telemetrisine göre Amadey tespitlerinin yoğunlaştığı ülkeler arasında Hindistan, Türkiye, Mısır, Meksika ve İspanya bulunuyor. Bu nedenle operasyonun küresel kapsamı, Türkiye’deki kullanıcılar ve kurumlar açısından da doğrudan önem taşıyor.
Operasyonda Alan Adları Ve Komuta Sunucuları Hedef Alındı
ESET’in paylaştığı bilgilere göre şirket, Amadey ve Stealc’e ilişkin teknik analizleri, tespit istatistiklerini, bilinen komuta ve kontrol sunucularını, şifreleme anahtarlarını, kampanya ve derleme kimliklerini operasyon ortaklarıyla paylaştı. Bu veriler, farklı kampanyalar ve zararlı yazılımı kullanan bağlı aktörler arasındaki ilişkilerin belirlenmesine katkı sağladı.
Operation Endgame’in bu aşamasında yaklaşık 50 alan adı ile IP tabanlı yaklaşık 200 aktif komuta ve kontrol sunucusunun etkilendiği belirtiliyor. Çalışmaya Europol Avrupa Siber Suç Merkezi, Almanya Federal Kriminal Polis Dairesi ile Hollanda ve Danimarka polisi dahil olurken; Microsoft Digital Crimes Unit, BitSight, Lumen, IBM ve Proofpoint gibi kuruluşlar da teknik tarafta yer aldı.
Amadey Ek Zararlı Yazılımların Sisteme Taşınmasında Kullanılıyor
Amadey, saldırganların ele geçirilen bilgisayarlara başka zararlı yazılımlar indirmesine olanak tanıyan modüler bir yükleyici ve botnet olarak tanımlanıyor. Zararlı yazılım sistem bilgilerini dışarı aktarabiliyor, ek modüller çalıştırabiliyor ve uzaktan erişim yetenekleri kazandırabiliyor. Sahte yazılım güncellemeleri, kırılmış uygulama yükleyicileri ve üçüncü taraf dağıtım servisleri başlıca bulaşma yöntemleri arasında gösteriliyor.
ESET’in araştırmasına göre Amadey’in suç ekosistemindeki lisans bedeli 600 dolar seviyesinde. Yeniden derleme için ayrıca 50 dolar talep edilebildiği aktarılıyor. Bu ticari model, teknik bilgisi daha sınırlı saldırganların da hazır altyapı üzerinden kampanya yürütebilmesini kolaylaştırıyor.
Stealc Tarayıcı Verileri Ve Kripto Cüzdanlarını Hedefliyor
Stealc ise hizmet olarak zararlı yazılım modeliyle sunulan bir bilgi hırsızı. Tarayıcılardaki kullanıcı bilgileri ve çerezlerin yanı sıra kripto para cüzdanlarını, tarayıcı eklentilerini ve belirli dosyaları toplamayı hedefliyor. Operatörlere sınırsız sayıda derleme oluşturma imkânı veren hizmetin altı aylık en düşük paket fiyatının 1.000 dolar olduğu belirtiliyor.
ESET verilerinde Stealc tespitlerinin en yoğun olduğu ülkeler ABD, Polonya ve İtalya olarak sıralanıyor. Microsoft ise Mayıs 2026’nın ilk iki haftasında Amadey ve Stealc ile bağlantılı 140 binden fazla enfekte bilgisayar tespit edildiğini bildirdi. Bu sayı, iki zararlı yazılım ailesinin operasyon öncesindeki yayılım ölçeğine ilişkin bir gösterge sunuyor.
Altyapının Kesintiye Uğratılması Tehdidi Tamamen Ortadan Kaldırmıyor
Komuta sunucuları ve alan adlarının devre dışı bırakılması, aktif kampanyaların yönetimini zorlaştırsa da Amadey ve Stealc’in tüm kopyalarının ortadan kalktığı anlamına gelmiyor. Daha önce enfekte olmuş sistemlerin temizlenmesi, hesap parolalarının değiştirilmesi ve çalınmış oturum bilgilerinin geçersiz kılınması gerekiyor.
Kullanıcıların işletim sistemi ve uygulamaları güncel tutması, yazılımları resmî kaynaklardan indirmesi, çok faktörlü kimlik doğrulamayı etkinleştirmesi ve bilinmeyen bağlantı ya da ekleri açmaması riskin azaltılmasına yardımcı olabilir. Kurumlar açısından uç nokta görünürlüğü, ağ trafiği takibi ve çalınmış kimlik bilgilerine yönelik kontroller önemini koruyor.
Kaynaklar: ESET Research, Europol ve Microsoft.
