arkadaşlar, ocak 2026’da krebsonsecurity dünyanın en büyük botnet’i olan kimwolf’un nasıl ortaya çıktığını yazmıştı. bir güvenlik araştırmacısı bir açığı ifşa etmiş, sonra bu açık kullanılarak kimwolf denen canavar botnet kurulmuş. şimdi de bu botnet’in patronu “dort” takma adlı şahıs, hem o araştırmacıya hem de krebs’e hayatı zindan etmeye başlamış.

ne olmuş yani

dort denen tip, ocak ayından beri araştırmacıya ve krebs’e karşı tam bir siber terör kampanyası yürütüyor:

• ddos saldırıları: klasik, siteleri çökertme çabaları
• doxing: kişisel bilgileri internete saçma (en sevmediğim hareket)
• email bombing: mail kutularını spam’le doldurma
• swatting: en tehlikelisi bu, araştırmacının evine swat timi göndertmiş sahte ihbarla

spoiler: swatting olayı gerçekten tehlikeli bir şey, insanlar bu yüzden hayatını kaybedebiliyor. ciddi bir suç.

…

arkadaşlar, yapay zeka ajanları kullanıyorsanız dikkat. openclaw denen popüler ai agent’ta ciddi bir güvenlik açığı bulunmuş. “clawjacked” diyorlar buna. kötü niyetli bir web sitesi, sizin bilgisayarınızda çalışan openclaw’u sessizce ele geçirebiliyor. yani siz masum masum internette gezinirken, arka planda birisi ai ajanınızı kaçırıp veri çalabiliyor.

ne oluyor tam olarak

şöyle ki arkadaşlar: openclaw localhost’ta çalışıyor normalde, yani sadece kendi bilgisayarınızdan erişilebilir olması lazım. ama güvenlik araştırmacıları keşfetmiş ki, kötü niyetli bir web sitesi brute-force saldırısıyla (yani deneme yanılma yöntemiyle) bu yerel servise erişebiliyormuş.

…

arkadaşlar, chrome web store’da 300 bin kullanıcısı olan “quicklens - search screen with google lens” denen eklenti ele geçirilmiş ve kripto çalmaya başlamış. google zaten mağazadan kaldırmış ama siz de bir kontrol edin sisteminizde var mı diye.

olay ne tam olarak

quicklens denen eklenti normalde ekran görüntüsü alıp google lens ile arama yapan masum bir şeymiş. ama 2026 şubat ayında birisi ele geçirmiş eklentiyi ve kötü amaçlı kod enjekte etmiş.

…

arkadaşlar, yeni bir araştırma ortaya çıktı ve durum hiç iç açıcı değil. truffle security adlı firma, github’da ve açık kaynaklarda dolaşan google cloud api keylerini incelemiş. sonuç: yaklaşık 3.000 tane “AIza” ile başlayan api key bulmuşlar ve bunların bir kısmı gemini api’sine erişim veriyor. yani siz faturalama için kullanılır diye düşündüğünüz bu keyleri client-side kodlara gömmüşseniz, tebrikler, gemini’ye de erişim vermişsiniz.

olay ne tam olarak?

google cloud api keyleri normalde proje tanımlayıcısı ve faturalama için kullanılır. maps, translate, youtube gibi servislere erişim için client tarafında kullanılması normal karşılanır. ama işin içine gemini girince durum değişiyor.

…

arkadaşlar, yapay zeka dünyasında yeni bir güvenlik faciası daha. openclaw diye bir ai ajan sistemi var, biliyorsunuzdur belki. işte bu sistemde “clawjacked” diye adlandırılan ciddi bir zafiyet bulunmuş. olay şu: kötü niyetli bir web sitesi, bilgisayarınızda çalışan ai ajanınıza websocket üzerinden bağlanıp kontrolü ele geçirebiliyormuş. yani siz masum masum internette gezinirken, birisi sizin ai ajanınızı çalıyor.

ne bu openclaw, ne yapıyor?

openclaw, yerel olarak çalışan bir ai ajan sistemi. yani bilgisayarınızda koşuyor, sizin için işler yapıyor. şimdi bu sistemde bir websocket servisi var ve bu servis yerel ağdan bağlantıları kabul ediyor. normalde sorun yok gibi görünüyor ama işte burada işler sarpa sarıyor.

…

arkadaşlar, bu hafta gerçekten ilginç bir tesadüf yaşandı. hbo’nun yeni dizisi “the pitt"te hastaneye ransomware saldırısı sahnesi gösterilirken, mississippi’deki gerçek bir sağlık sistemine de aynı anda ransomware saldırısı olmuş. hayat sanatı taklit ediyor derler ya, bu sefer birebir aynısı olmuş.

ne oldu peki

mississippi eyaletindeki bir sağlık sistemi bu hafta ciddi bir ransomware saldırısına maruz kalmış. hbo’nun “the pitt” dizisinde de tam aynı senaryoyu gösteriyorlar: hastanenin sistemleri kilitleniyor, doktorlar hastane bilgi sistemlerine erişemiyor, kaos çıkıyor. dizi yapımcıları “biz bunu önceden çekmiştik” diye açıklama yapmış ama timing gerçekten ilginç.

…

arkadaşlar, cisa yeni bir uyarı yayınladı ve ivanti connect secure cihazlarınızı kontrol etmeniz gerekiyor. resurge diye bir malware var ve bu şey cihazlarınızda uyuyor olabilir, yani sessiz sakin oturuyor ama her an aktif hale gelebilir.

ne olmuş yani?

şöyle ki, cve-2025-0282 diye bir sıfır-gün açığı var ivanti connect secure cihazlarında. saldırganlar bu açığı kullanarak resurge diye bir implant yerleştirmişler cihazlara. spoiler: bu malware sessiz kalabiliyor ve standart taramalarla bile tespit edilemiyor.

…

arkadaşlar, juniper networks acil bir yama yayınladı. ptx serisi router’larında kritik seviyede bir zafiyet bulunmuş ve junos os evolved kullanan cihazlar etkileniyor. CVE-2026-21902 kodlu bu açık uzaktan kod çalıştırma (rce) sınıfında, yani saldırgan sisteme uzaktan erişip istediği komutu çalıştırabiliyor. ciddi ciddi hemen yamalayın.

ne var ne yok

juniper’ın ptx serisi router’larında junos os evolved işletim sistemini kullananlar tehlikede. açık, out-of-band denen acil güvenlik güncellemesiyle kapatılmış. cvss skoru henüz tam açıklanmamış ama “critical” denmişse zaten 9.0’ın üzerindedir, boş durmayın.

…

arkadaşlar, bugün biraz farklı bir konudan bahsedeceğiz. kuantum bilgisayarlar ve post-kuantum şifreleme (PQC) meselesi. “ee ne alaka bize” demeyin, ciddi ciddi ilgilenmeniz gereken bir konu bu.

olay ne, niye önemli?

şöyle ki agalar: kötü niyetli tipler şu an sizin şifreli verilerinizi topluyorlar. “ama şifreli ya, ne yapacaklar” diyeceksiniz. işte olay burada başlıyor. şimdi kıramıyorlar ama 10 yıl sonra kuantum bilgisayarlarla kırabilecekler.

buna “harvest now, decrypt later” (şimdi topla, sonra çöz) saldırısı diyorlar. yani bugün şifreli verilerinizi çalıyorlar, arşivliyorlar, kuantum bilgisayar gelince çözecekler. klasik sabır oyunu işte.

…

arkadaşlar, zyxel yine gündemde ama bu sefer kötü bir haberle. birçok cihaz modelinde kritik seviyede bir açık bulunmuş ve uzaktan kod çalıştırmaya (RCE) izin veriyormuş. yani saldırgan internetten erişip cihazınızda istediği komutu çalıştırabilir, size de geçmiş olsun der.

ne olmuş yani?

zyxel, upnp fonksiyonunda (universal plug and play denen o otomatik cihaz keşfi işi) ciddi bir zafiyet tespit etmiş. bu açık sayesinde kimliği doğrulanmamış bir saldırgan, ağ üzerinden cihaza erişip uzaktan kod çalıştırabiliyor. klasik rce vakası işte.

…