çinli red menshen grubu telekom şirketlerinde yıllardır gizleniyormuş

Posted on 27 Mar 2026

arkadaşlar, çinli bir hacker grubu olan red menshen (diğer adıyla earth bluecrow) yıllardır telekom şirketlerinin ağlarına yerleşmiş ve devlet ağlarını gözetliyormuş. yani klasik çin hareketi, uzun soluklu ve sessiz sedasız iş. bpfdoor denen bir implant kullanmışlar ki bu yazılım gerçekten sinsi bir şey.

olay ne tam olarak

red menshen grubu, telekom operatörlerinin altyapısına sızmış ve oradan devlet kurumlarını izliyormuş. mantık şu: telekom şirketleri zaten herkesin trafiğini görüyor, sen oraya yerleşirsen hem görünmezsin hem de istediğin yere erişim sağlarsın. akıllıca ama kötü niyetli bir strateji.

kullandıkları bpfdoor implantı, linux tabanlı sistemlerde çalışan ve ağ trafiğinde kendini gizleyebilen bir arka kapı. berkeley packet filter (bpf) teknolojisini kullanıyor, yani normal ağ trafiği gibi görünüyor. güvenlik çözümleri tarafından tespit edilmesi çok zor.

spoiler: bu kampanya uzun süreli, yani bunlar yıllardır oradalar ve hala aktifler.

tehdit seviyesi

bu bir advanced persistent threat (apt) vakası, yani:

  • 🔴 kritik öncelik - telekom altyapısı hedef
  • 🔴 devlet kurumları risk altında
  • 🔴 uzun süreli gözetleme - yıllardır aktif
  • 🔴 çok gizli implant - tespit zor

etkilenen sektörler

SektörDurum
Telekom Operatörleri✅ Birincil hedef
Devlet Kurumları✅ İkincil hedef
Kritik Altyapı⚠️ Risk altında

red menshen kimdir

çin bağlantılı bir apt grubu. özellikleri:

  • uzun soluklu operasyonlar yapıyor
  • telekom ve devlet ağlarına odaklanıyor
  • linux tabanlı sistemleri hedefliyor
  • bpfdoor, siestagraph gibi özel araçlar kullanıyor
  • earth bluecrow olarak da biliniyor

bpfdoor nedir agalar

bpfdoor, linux sistemlerde çalışan çok sinsi bir arka kapı:

  • berkeley packet filter (bpf) teknolojisi kullanıyor
  • ağ trafiğinde kendini gizliyor
  • pasif dinleme yapabiliyor (yani dışarı bağlantı açmıyor)
  • sihirli paketlerle aktive ediliyor (magic packets)
  • normal güvenlik araçları görmüyor

yani klasik malware gibi dosya indirip çalıştırmıyor, ağ katmanında durup bekliyor. saldırgan özel bir paket gönderdiğinde uyanıp iş yapıyor.

telekom şirketleri neden hedef

mantık basit:

  1. telekom şirketleri tüm iletişim trafiğini görüyor
  2. devlet kurumları da bu altyapıyı kullanıyor
  3. telekom ağına sızarsan, oradan istediğin yere atlayabilirsin
  4. büyük ağlarda anormallik tespiti zor
  5. uzun süre fark edilmeden kalabilirsin

kısacası, telekom şirketi bir nevi köprü görevi görüyor.

ne yapmalısınız

telekom ve kritik altyapı yöneticileri için:

# 1. bpf tabanlı şüpheli aktiviteleri kontrol edin
auditctl -l | grep bpf
bpftool prog list

# 2. beklenmedik bpf programları var mı bakın
ls -la /sys/fs/bpf/

# 3. ağ trafiğinde anormal patern arayın
# özellikle düşük frekanslı, küçük paketlere dikkat
tcpdump -i any -n 'len < 100' -w suspicious.pcap

# 4. kernel modüllerini kontrol edin
lsmod | grep -i bpf

genel güvenlik önlemleri:

1. network segmentation yapın:

  • telekom altyapısını segmentlere ayırın
  • kritik sistemleri izole edin
  • lateral movement’ı zorlaştırın

2. anomaly detection kurun:

  • ağ trafiğini sürekli izleyin
  • baseline davranış belirleyin
  • sapmaları alarm olarak ayarlayın

3. edr/xdr çözümleri kullanın:

  • endpoint’lerde gelişmiş tespit araçları olsun
  • bpf aktivitelerini izleyebilen çözümler tercih edin

4. threat hunting yapın:

  • düzenli olarak ioc (indicator of compromise) taraması yapın
  • red menshen’in bilinen ttps’lerini arayın
  • şüpheli bpf programlarını inceleyin

5. log analizi:

# sistem loglarında bpf ile ilgili aktiviteleri arayın
journalctl | grep -i bpf
ausearch -k bpf

# beklenmedik network connection'lar
netstat -tulpn | grep ESTABLISHED
ss -tupn

tespit için ioc’ler:

red menshen ve bpfdoor için bilinen göstergeler:

  • beklenmedik bpf programları
  • düşük frekanslı, küçük boyutlu ağ paketleri
  • sihirli paket patternleri (magic packets)
  • meşru sistem araçlarının kötüye kullanımı
  • uzun süreli, düşük profilli network connection’lar

risk değerlendirmesi

bu vaka neden önemli:

  • stratejik hedefleme: telekom altyapısı kritik bir pozisyon
  • uzun vadeli tehdit: yıllardır aktif, hala devam ediyor
  • gizlilik: normal güvenlik araçları tespit edemiyor
  • geniş erişim: telekom üzerinden birçok hedefe ulaşabiliyorlar
  • devlet düzeyinde casusluk: apt seviyesinde operasyon

kaynaklar ve detaylar

bkz:

  • apt grupları
  • telekom güvenliği
  • bpf rootkit
  • china-nexus threat actors

edit: eğer telekom sektöründe çalışıyorsanız, bu konuyu ciddiye alın. red menshen grubu yıllardır sessiz sedasız çalışıyor ve tespit edilmesi gerçekten zor.

edit 2: bpfdoor tespiti için özel araçlar gerekebilir. normal antivirüs yetmez, edr/xdr seviyesinde çözümler kullanın.

son not: bu tür apt kampanyaları genelde çok uzun sürer ve tamamen temizlemek zordur. eğer şüpheleniyorsanız, profesyonel threat hunting ekibi getirin. kendi başınıza temizlemeye çalışmayın, daha da derine girebilirler.

Bu içerik yapay zeka tarafından oluşturulmuştur.