Siber güvenlik firması Cyble tarafından yayımlanan son veriler, hacktivist grupların kritik altyapılara yönelik saldırılarını giderek daha gelişmiş yöntemlerle yürüttüğünü ortaya koyuyor. Geleneksel DDoS (dağıtılmış hizmet engelleme) saldırıları ve web sayfası tahrifatı gibi basit taktiklerin yerini artık sistem sızmaları ve veri sızıntıları gibi daha sofistike saldırılar alıyor.
2025 yılının ikinci çeyreğinde, endüstriyel kontrol sistemleri (ICS) saldırıları, veri ihlalleri ve erişim temelli sızmalar, hacktivist faaliyetlerin %31’ini oluşturdu. Bu oran, ilk çeyreğe kıyasla %29’luk bir artışa işaret ediyor. Özellikle Rusya bağlantılı gruplar, bu tür saldırıların başlıca failleri konumunda.
Cyble’ın blog yazısında, geçen yıl ortaya çıkan Z-Pentest adlı Rusya merkezli hacktivist grubun, ICS saldırılarını giderek daha fazla benimsediği vurgulandı. Cyble, bu dönüşümün yüzeysel dijital bozulmadan altyapıyı hedef alan müdahalelere kayarak, hacktivistlerin stratejik niyet ve teknik yetkinlik bakımından evrim geçirdiğini gösterdiğini ifade etti. Sadece 2025’in ikinci çeyreğinde Z-Pentest, 38 ICS saldırısı gerçekleştirdi – bu sayı, bir önceki çeyrekteki 15 saldırıya göre %150’nin üzerinde bir artış anlamına geliyor.
Z-Pentest’in Avrupa’nın çeşitli ülkelerindeki enerji altyapılarını hedef alması, grubun organize ve uzun vadeli bir saldırı stratejisi izlediğini gösteriyor. Grup ayrıca, saldırıların psikolojik etkisini artırmak amacıyla ICS sistemlerine müdahale edilen anların ekran kayıtlarını da sıklıkla yayımlıyor.
Öte yandan, son dönemde ICS ortamlarını hedef alan iki yeni Rusya bağlantılı grup daha ortaya çıktı. Dark Engine adlı yeni oluşum, 2025’in ikinci çeyreğinde 26 ICS saldırısıyla dikkat çekerken, özellikle Haziran ayında ciddi bir operasyonel artış sergiledi. Sector 16 ise aynı dönemde 14 ICS saldırısıyla ilişkilendirildi.
Cyble’ın analizine göre, bu gruplar yalnızca benzer hedefleri paylaşmakla kalmıyor; mesajlarını uyumlu hale getiriyor, saldırı zamanlamalarını koordine ediyor ve hedef seçimlerinde ortak bir çizgi izliyor. Bu senkronizasyon, Rusya’nın siber alandaki stratejik çıkarlarını destekleyen bilinçli bir iş birliğine işaret ediyor.
Özellikle enerji ve kamu hizmetleri sektörü, endüstriyel kontrol sistemlerine (ICS) yönelik saldırıların başlıca odağı haline gelmiş durumda. Ulusal dayanıklılık açısından kritik öneme sahip altyapılara yapılan bu vurgu, hacktivistlerin stratejik yöneliminde net bir değişime işaret ediyor. Bununla birlikte, imalat, ulaşım ve telekomünikasyon sektörlerinde de benzer hedefleme örnekleri görülüyor. Hatta bazı vakalarda, ülkelerin ulusal ağlarındaki kontrol sistemlerine yönelik sızma girişimleri tespit edilmiş durumda.
Cyble’ın verilerine göre İtalya, hacktivistlerin ICS saldırılarında en çok hedef aldığı ülke oldu. İtalyayı ise ABD, Çekya, Fransa ve İspanya gibi NATO üyesi ülkeler izliyor.
Araştırmacılar ayrıca, DDoS saldırılarının hâlâ hacktivistlerin en sık başvurduğu yöntem olduğunu ve tüm saldırıların %54’ünü oluşturduğunu kaydediyor. Onu %15 ile web sitesi tahrifatı izliyor; bu da dijital protestonun geleneksel biçimlerinin hâlen yaygın şekilde uygulandığını gösteriyor. Ancak daha hedefli ve yıkıcı saldırı türlerinin giderek yaygınlaştığı açık. ICS saldırıları, hacktivist faaliyetlerin %13’ünü oluştururken; veri sızıntıları %11, yetkisiz sistem erişimi ise kalan %7’lik kısmı meydana getiriyor. Bu veriler, hacktivist taktiklerde daha karmaşık ve yıkıcı yöntemlere doğru belirgin bir geçiş yaşandığını ortaya koyuyor.
Cyble ayrıca, Dark Engine grubuna ilişkin daha fazla ayrıntı paylaştı. Buna göre, grup yalnızca Avrupa’da değil; Asya ve Latin Amerika dahil olmak üzere farklı kıtalarda da etkinlik gösteriyor. Dark Engine’in kullandığı taktikler arasında yetkisiz erişim girişimleri, veri sızıntıları ve ICS saldırıları yer alıyor. Bu da grubun yalnızca teknik olarak değil, hedef seçiminde de stratejik çeşitliliğe sahip olduğunu gösteriyor. Dark Engine’in saldırıları, çoğunlukla enerji ve kamu hizmetleri sektörlerine odaklansa da; gıda, eğitim ve imalat gibi ulusal dirençle doğrudan bağlantılı alanları da hedef alıyor.
Cyble’ın aktardığına göre, yakın tarihli bir olayda Dark Engine – diğer adıyla Altyapı İmha Timi – Vietnam’da sanayi operasyonlarında kullanılan bir HMI/SCADA arayüzüne yetkisiz erişim sağladığını iddia etti. Sızdırılan ekran görüntülerine göre, ele geçirilen sistem yüksek sıcaklıkta çalışan bir endüstriyel fırını kontrol ediyordu. Bu tür ekipmanların genellikle metalurji, seramik, çimento ya da gıda işleme gibi sektörlerde kullanıldığı değerlendiriliyor. Grup, saldırıya gerekçe olarak, “Çin’e düşman olarak algılanan” ülkelere karşı olduğunu belirtti.
Dark Engine’in bu tür saldırıları, sadece teknik değil, jeopolitik anlamda da ideolojik bir yönelim taşıyor. Cyble’a göre grup, kendisini Doğu Bloku’yla jeopolitik uyum içinde konumlandırıyor ve bu çerçevede gerçekleştirdiği sanayi hedefli saldırılarla siyasi duruşunu pekiştiriyor.
Sahada dikkat çeken bir diğer aktör ise, özellikle İran-İsrail çatışması döneminde öne çıkan APT IRAN oldu. Grup, ABD’de gözlemlenen faaliyetleri kapsamında enerji sektörüne yönelik ICS odaklı saldırılar gerçekleştirdi. Saldırıların zamanlaması, hedef seçimi ve teknik altyapısı, grubun ulusal stratejik çıkarlarla uyumlu ve OT (operasyonel teknoloji) merkezli bir yetkinliğe sahip olduğunu gösteriyor.
Yeni ortaya çıkan bir diğer grup ise, siyasi motivasyonla hareket eden Kamboçya merkezli BL4CK CYB3R. Grup, özellikle Tayland’ı hedef alarak dikkat çekti. Hem yetkisiz erişim hem de DDoS saldırılarını birlikte kullanan BL4CK CYB3R, BT ve BT hizmetleri, kamu sektörü ile tüketici ürünleri gibi çok çeşitli alanlarda kesintilere yol açtı. Grubun etkinliği, özellikle Mayıs sonunda patlak veren Tayland-Kamboçya sınır krizi sırasında belirgin biçimde arttı.
Cyble, 2025’in ikinci çeyreğinde hacktivist faaliyetlerin çoğunlukla bölgesel çatışmalarla bağlantılı olduğunu belirtiyor. Ukrayna-Rusya, İsrail-İran, Hindistan-Pakistan, Tayland-Kamboçya ve Fas-Cezayir gibi sıcak çatışma alanları, hacktivistlerin hareketliliğini körükleyen başlıca etkenler arasında yer aldı. Bu saldırılar, yalnızca doğrudan taraflara değil, aynı zamanda bu ülkelerle ittifak içinde görülen ülkelere de yöneldi. Son dönemde Vietnam da bu saldırılardan ciddi şekilde etkilenen ülkelerden biri oldu.
İkinci çeyrekte, en fazla saldırıya uğrayan sektörler, devlet kurumları ve kolluk kuvvetleri olurken; bu alanların dışında kalan ancak sembolik önemi yüksek olan diğer sektörlerde de ciddi faaliyet gözlendi.
Devlet kurumları ve kolluk kuvvetleri, özellikle NoName057(16), Special Forces of the Electronic Army ve Keymous+ adlı grupların tekrar eden saldırılarının hedefi oldu. Bu durum, kamu sektörünü sekteye uğratmaya yönelik uzun vadeli ve kararlı bir odaklanmayı ortaya koyuyor.
Enerji ve kamu hizmetleri sektörü, özellikle Z-Pentest ve Dark Engine gruplarının yürüttüğü daha geniş ölçekli ICS merkezli operasyonların hedefinde yer aldı. Bu iki grubun faaliyetleri, sınır ötesi ve ısrarlı saldırılarla dikkat çekiyor. Bankacılık ve finans alanında ise en aktif grup yine NoName057(16) olurken; onu Keymous+ ve Indian Cyber Force izledi.
Cyble’ın raporuna göre, veri sızıntıları, hacktivistlerin sıklıkla başvurduğu ancak ikincil tehdit kategorisinde değerlendirilen bir yöntem olarak öne çıkıyor. Bu tür saldırılar genellikle kullanıcı bilgilerini, yönetici panellerini ve kurum içi belgeleri açığa çıkarmak amacıyla kullanılıyor. En çok etkilenen alanlar arasında yine kamu kurumları ve güvenlik güçleri başı çekerken; bu alanları eğitim, bankacılık, finans, sigortacılık (BFSI) ile ulaşım ve lojistik sektörleri takip etti. Bazı saldırıların ise ortak altyapıları veya siyasi mesajları hedef alan çok sektörlü nitelikte olduğu gözlemlendi.
Daha az sıklıkla rastlanan yetkisiz erişim temelli saldırılar, çoğunlukla keşif (reconnaissance) ya da ileriye dönük saldırılar için konum alma (pre-positioning) amacı taşıyor. Her ne kadar bu girişimler sınırlı ölçekte gerçekleşse de, genellikle sistemlerin ele geçirildiğini kamuoyuna göstermek ya da kamu kurumlarına olan güveni sarsmayı hedefleyen bilgi operasyonlarını desteklemek için kullanılıyor.
Cyble, ikinci çeyrekte gözlemlenen bu artan saldırı karmaşıklığının, hacktivist gruplar arasında gelişen iş birliği sayesinde daha da yaygınlaşacağını öngörüyor. Bu trend, sadece hacktivistlerden değil; aynı zamanda ileri düzey kalıcı tehditler (APT) ve diğer profesyonel aktörlerden gelen saldırı riskinin de arttığını gösteriyor. Özellikle kritik altyapı ve kamu sektörü gibi savunmasız alanlar, önümüzdeki dönemde tehditlerin odak noktası olmaya devam edecek.
Cyble, bu risklere karşı aşağıdaki temel güvenlik önlemlerini öneriyor:
- Kritik sistemlerin internetten tamamen izole edilmesi,
- IT ve OT ağlarının ayrıştırılması ve “Zero Trust (sıfır güven)” ilkesiyle yönetilmesi,
- Zafiyet yönetimi, ağ ve uç nokta izleme süreçlerinin etkin biçimde yürütülmesi,
- Sistemlerin sürekli olarak güçlendirilmesi ve denetlenmesi.
