Çin ile bağlantılı tehdit aktörleri, Venezuela, Suriye ve Körfez ülkeleri gibi jeopolitik sıcak noktalarda da dâhil olmak üzere oldukça aktif olmaya devam etti; denizcilik ve enerji sektörlerini, Güney Kore’deki bir yapay zekâ robotik şirketini ve hükümet hedeflerini casusluk faaliyetlerine maruz bıraktı.
İzlenen zaman diliminde, Çin yanlısı tehdit aktörleri dünya çapında oldukça aktif kalmaya devam etti, kısmen Pekin’in ekonomik ve güvenlik çıkarlarını etkileyen jeopolitik gelişmelerin şekillendirdiği casusluk kampanyaları yürüttü. ABD’nin Venezuela’daki askeri operasyonunun ardından ve Körfez bölgesinde devam eden istikrarsızlık ortamında, Güvenlik uzmanları, Çin yanlısı grupların Pekin’in yurtdışındaki denizcilik, enerji ve siyasi gelişmelere ilişkin görünürlüğünü artırmak için harekete geçirildiğine dair işaretler tespit etti. Kuzey Kore ile bağlantılı Andariel, nükleer enerji sektöründe faaliyet gösteren bir şirkete saldırdı.
Çin ile bağlantılı FamousSparrow, ABD müdahalesinin ardından petrol sevkiyatlarının dayanıklılığını izlemek amacıyla denizcilik işleriyle bağlantılı bir Venezüella devlet kurumunu hedef aldı. Güvenlik uzmanları, burada Suriye devlet ağını hedef alan bir başka Çin ile bağlantılı APT grubu olan SteppeDriver’ı da tespit etti. Bu faaliyet, hem Suriye’nin yeniden inşa projelerine yönelik Çin’in ticari çıkarlarını hem de ülkedeki Uygur savaşçılarla ilgili güvenlik endişelerini yansıtıyor olabilir.
Çin ile bağlantılı UNC5221’in SPAWN kötü amaçlı yazılım ailesi, Kamboçya ve Panama’daki devlet kurumlarının yanı sıra Güney Kore’deki bir yapay zekâ ve robotik şirketini hedef aldı. Güney Kore’yi hedef alan bu son faaliyet, Pekin’in “Made in China 2025” endüstriyel kalkınma politikası kapsamında öncelik verilen stratejik teknolojilere olan süregelen ilgisiyle uyumlu.
2026 yılının Şubat ayı sonlarında başlayan İran’daki savaş, bu dönemde İran yanlısı faaliyetlerin en belirleyici olayı oldu. Paradoksal bir şekilde, bu çatışma, telemetri verilerinde yerleşik İran yanlısı APT gruplarının faaliyetlerinde bir düşüşle aynı zamana denk geldi; bunun en olası nedeni, İran rejimi tarafından uygulanan internet kısıtlamalarının bu grupların etkin bir şekilde faaliyet gösterme kabiliyetini engellemiş olmasıdır.
Aynı zamanda, bu ortam, İsrail, ABD ve Tahran’a düşman olarak görülen diğer devletleri hedef alan vekil ve hacktivist aktörlerin harekete geçmesini kolaylaştırmış görünüyor. Güvenlik uzmanları ayrıca daha önce bilinen gruplarla kesin olarak ilişkilendiremediği, İsrail hedeflerine yönelik faaliyetlerde olağan dışı bir artış kaydetti. Kaynağı bilinmeyen iki faaliyet kümesi, Rusty Boots ve MoKhargosh, İsrail’e karşı hem casusluk yetenekleri hem de yıkıcı potansiyel sergiledi. Bu faaliyetler arasında, daha sonra kullanılmak üzere yıkıcı araçları saklarken bootkit tarzı bir wiperı devreye sokmak da vardı.
Ayrıca Birleşik Arap Emirlikleri’ndeki bir savunma şirketinin ele geçirildiğini ve Arapça konuşan kullanıcıların Android casus yazılımlarıyla hedef alındığını tespit etti. Saldırganın Telegram kanalının adı, dünya çapındaki askeri olayları haritalamaya adanmış meşru ve tanınmış bir OSINT platformu olan Live Universal Awareness Map (Liveuamap) ‘tan esinlenmiş olabileceğinden bu saldırı muhtemelen gazetecileri veya açık kaynak istihbarat uzmanlarını hedef alıyordu.
Kuzey Kore ile bağlantılı tehdit aktörleri çeşitli cephelerde aktif olmaya devam etti. Birçok grup hem doğrudan mali kazanç hem de yazılım tedarik zincirini tehlikeye atma fırsatları sağlayabilecek sosyal mühendislik planlarıyla geliştiricileri ve kripto para ekosistemini hedef almaya devam etti. Ayrıca Andariel grubunun Güney Kore’ye yönelik saldırılarda yeniden ortaya çıktığını keşfetti. Grup, bu saldırılarda TigerRAT’ı kullandı ve sıvı hidrojen işleme ve nükleer enerji endüstrisiyle ilgili ekipman ürettiği görülen bir mühendislik şirketi içinde Rook fidye yazılımını yaymaya çalıştı. Bu teknolojiler, Pyongyang’ın balistik ve nükleer hedefleri açısından açıkça ilgi çekicidir.
Rusya yanlısı tehdit aktörleri, ağırlıklı olarak Ukrayna’ya ve bu ülkenin savunma çabalarıyla bağlantılı kuruluşlara odaklanmaya devam etti. Sednit, Ukrayna askeri personeli, drone üreticileri ve drone araştırma ve geliştirme faaliyetlerinde bulunan kuruluşlara karşı Covenant ve BeardShell implantlarını kullanırken Ukrayna dışındaki lojistik ve nakliye şirketlerini de hedef aldı. Sandworm, kış boyunca yıkıcı faaliyetlerini yoğunlaştırdı ve Ukrayna’da kamu ve özel sektör hedeflerine karşı birkaç yeni wiper programı kullandı.
