AI Destekli Siber Saldırı Dalgasında Yeni Tehdit GreyVibe

WithSecure araştırmacıları, Ağustos 2025'ten bu yana Ukrayna'yı hedef alan GreyVibe adlı yeni bir tehdit grubunu Mayıs 2026'da raporladı. Grubun ayırt edici yönü, ChatGPT, Google Gemini ve Ideogram AI gibi ticari yapay zeka araçlarını saldırının neredeyse her aşamasında kullanması. Bu yazıda AI destekli siber saldırı yöntemlerinin nasıl çalıştığı, GreyVibe'ın beş paralel saldırı zinciri ve kurumların alabileceği somut önlemler ele alınıyor.

Bu yazıda: GreyVibe grubunun yapay zekayı oltalama metinlerinden zararlı yazılım geliştirmeye kadar nasıl kullandığı, beş ayrı saldırı zincirinin teknik detayları, Anthropic'in Kasım 2025'te açıkladığı otonom AI saldırısıyla bağlantısı ve bireylerin ve şirketlerin korunma yöntemleri inceleniyor.

GreyVibe Saldırısı Nedir ve Kimi Hedef Aldı?

GreyVibe, daha önce belgelenmemiş, Rusça konuşan operatörlere dayandırılan bir tehdit kümesi olarak tanımlanıyor. WithSecure'un 28 Mayıs 2026 tarihli raporuna göre grup, askeri, kamu, sivil ve özel sektör kuruluşlarını Ağustos 2025'ten beri hedef alıyor. Saldırganların komuta kontrol altyapısı Moskova saat dilimine ayarlanmış durumda. Kullanılan araçlardaki dil, kod yorumları ve zaman dilimi yapılandırması Rusya kaynaklı olduğuna işaret ediyor.

Hedef seçimi dikkat çekici. Ukrayna ordusu, kamu kurumları, kritik altyapı ve Ukrayna diasporası gibi gruplar saldırının odağında. PrincessClub bağlantılı tuzakların aktif görevdeki Ukraynalı askerleri bile çektiği belirtiliyor. Operatörlerin niyetiyle Rus istihbarat çıkarları arasında güçlü bir hizalanma görülüyor. WithSecure, grubu doğrudan Rus devletine bağlamak için yeterli kanıt bulunmadığını da ekliyor.

GreyVibe'ın olgunluk seviyesi tartışmalı. Araştırmacılar grubu düşük ile orta seviye sofistike olarak tanımlıyor. Operasyonel güvenlik hataları, grubun araçlarını ve yöntemlerini araştırmacılara fazlasıyla açık etti. LegionRelay ile DroneLink altyapısındaki bir tasarım hatası, savunmacılara arka uç faaliyetlerine doğrudan görüş sağladı. Yapay zekanın yoğun kullanımı bile bu acemice hataları örtemedi.

Yapay Zeka Saldırının Hangi Aşamalarında Kullanıldı?

GreyVibe'ın en kritik yönü, üretken yapay zekayı operasyonun yapısal bir parçası haline getirmesi. PhantomMail, PhantomClick, PrincessClub, DroneLink ve Nebo kampanyalarına ait meta veriler ve geliştirme artefaktları, AI araçlarının çok geniş bir görev yelpazesinde kullanıldığını gösteriyor. Bu kullanım rastlantısal değil, sistematik.

Yapay zeka şu aşamalarda devreye girdi: oltalama içeriklerinin yazılması, sahte web sitesi metinlerinin üretilmesi, görsel oluşturma, zararlı yazılımın yazılması ve yeniden düzenlenmesi, arka uç altyapı betiklerinin hazırlanması. Görsel üretimi için Ideogram AI, kod geliştirme için ChatGPT ve Google Gemini kullanıldı. DAYLIGHT ve TEASOUP gibi gizleyicilerde (obfuscator) yapay zeka üretimi kod örüntüleri tespit edildi.

WithSecure raporunda grubun yapay zeka kullanımının yapısal olduğu belirtiliyor. Bir savunmacı için bu durumun anlamı net: saldırgan tuzakları ve zararlı yazılımları haftalar yerine saatler içinde yeniden üretebilir. Bileşenleri araştırmacıların kümeleyebileceğinden daha hızlı değiştirebilen bir grup, zamanla takip edilmesi çok daha zor bir hedefe dönüşüyor. Bu da AI destekli siber saldırı modelinin asıl tehlikesini özetliyor.

"GreyVibe ile ilgili dikkat çekici olan, saldırı zincirlerinin tamamen yeni olması değil. Yapay zekanın tehdit aktörlerinin bu zincirleri sanayileştirmesine yardım etmesi." (Shane Barney, Keeper Security CISO, SC Media)

GreyVibe'ın Beş Saldırı Zinciri Nasıl Çalışıyor?

WithSecure, grubun her biri kendine özel tuzak ve yük (payload) taşıyan beş ayrı saldırı zincirini belgeledi. Bu zincirler farklı görünse de ortak zararlı yazılım altyapısında birleşiyor. Bleeping Computer'ın aktardığı detaylara göre zincirlerin tamamı PhantomRelay, LegionRelay ve FallSpy gibi araçları hedef sistemlere yerleştirmeyi amaçlıyor.

PhantomMail: Hedefli oltalama (spear-phishing) e-postaları kullanılıyor. E-postalar Google Drive ve 4sync üzerinde barındırılan zararlı ZIP veya RAR arşivlerine yönlendiriyor. Arşivler JavaScript tabanlı yükleyiciler içeriyor ve sahte bir PDF açarken arka planda PhantomRelay adlı PowerShell tabanlı uzaktan erişim truva atını çalıştırıyor. Tuzaklar Ukrayna kamu, acil durum, telekom ve enerji kurumlarını taklit ediyor.

PhantomClick: Zoom ve LAPAS sitelerini taklit eden sahte CAPTCHA sayfaları kullanılıyor. ClickFix tarzı bu yöntemde kullanıcı sahte bir Cloudflare doğrulaması zannettiği komutu kendi eliyle çalıştırıyor ve aynı PhantomRelay enfeksiyon zincirini başlatıyor.

PrincessClub: Sahte Ukraynalı yetişkin kulüp ve flört siteleri devreye giriyor. Android cihazlara FallSpy casus yazılımı, Windows sistemlere PhantomRelay veya LegionRelay bulaştırılıyor. Operatörler sahte kadın Telegram personalarını kullandı ve sonradan kurbanın ses ile görüntüsünü yakalayabilen WebRTC tabanlı canlı görüşme özelliği ekledi. Yapay zekanın sentetik ses ve görüntü üretimiyle birleşen bu yöntemler, daha önce ele alınan yapay zeka ve ses klonlama risklerini de gündeme getiriyor.

DroneLink: FPV drone ve İHA temalı sahte Ukraynalı askeri yardım dernekleri kurgulanıyor. Mart ve Nisan 2026'da bu siteler PrincessClub ile aynı C2 altyapısını, WireGuard ile ZAPiXDESK araçlarını ve DAYLIGHT ile gizlenmiş LegionRelay betiklerini paylaştı. WithSecure Labs analizinde frontforce[.]org gibi sahte dernek alan adları örnek gösteriliyor.

Nebo: "СПО НЕБО" (SPO NEBO) adlı bir Rus askeri haberleşme sistemini taklit eden daha küçük bir artefakt kümesi. Rusça askeri giriş ekranını taklit eden bir FallSpy örneği ve

PrincessClub altyapısında barındırılan sahte bir giriş sayfası tespit edildi.

Bu zincirlerin ortak noktası, kurbanı bir noktada kendi eliyle hareket etmeye ikna etmesi. Sahte bir CAPTCHA, sahte bir bağış kampanyası veya sahte bir flört profili, hepsi güven kurma üzerine tasarlanmış. Yapay zekanın ürettiği akıcı metinler ve gerçekçi görseller bu güven kurma adımını eskisinden çok daha inandırıcı hale getiriyor.

PhantomRelay, LegionRelay ve FallSpy Ne Yapıyor?

Saldırı zincirleri farklı tuzaklar kullansa da yük tarafında üç ana zararlı yazılım öne çıkıyor. Bu araçlar bir kez sisteme girdiğinde geniş bir veri toplama ve uzaktan kontrol yeteneği sunuyor.

PhantomRelay, PowerShell tabanlı bir uzaktan erişim truva atı (RAT). Sistem parmak izi çıkarma, uzaktan betik yükleme, PowerShell ve Windows komutu çalıştırma yetenekleri taşıyor. LegionRelay ise daha kapsamlı: dosya hırsızlığı, ekran görüntüsü yakalama, tarayıcı kimlik bilgisi çalma, Telegram ve WhatsApp veri sızdırma ve RDP erişimi kurulumu yapabiliyor.

FallSpy ise tamamen Android cihazlara yönelik bir casus yazılım. PrincessClub ve Nebo kampanyalarında dağıtıldı. Topladığı veriler arasında kişi listeleri, arama kayıtları, GPS konumu, SIM bilgileri, medya dosyaları ve cihaz tanımlayıcıları yer alıyor. Mobil hedefler söz konusu olduğunda istihbarat değeri yüksek bilgileri toplamak için tasarlandı.

GreyVibe ve GTG-1002 Arasındaki Farklar Neler?

GreyVibe tek başına bir vaka değil, daha geniş bir trendin parçası. Anthropic, Kasım 2025'te yapay zeka tarafından düzenlenen ilk siber casusluk kampanyasını açıkladı. Yüksek güvenle Çin devlet destekli bir gruba (GTG-1002 olarak adlandırıldı) atfedilen bu operasyonda saldırganlar Claude Code aracını dünya çapında yaklaşık 30 hedefe sızma girişimine yönlendirdi.

Bu olayla GreyVibe arasındaki ölçek farkı önemli. GTG-1002 kampanyasında yapay zeka, saldırının yaklaşık yüzde 80 ile 90'ını kendi başına yürüttü ve insan müdahalesi yalnızca birkaç kritik karar noktasında gerekti. Saldırının zirvesinde yapay zeka saniyede birden fazla istek üreterek, bir insan ekibinin asla erişemeyeceği bir hızda çalıştı. Anthropic'in raporuna göre AI bazen kimlik bilgilerini halüsinasyona uğratarak hata yaptı, ki bu tam otonom saldırıların önündeki engellerden biri olarak kalıyor.

İki vaka arasındaki fark, yapay zekanın saldırıdaki rolünün derinliğinde. GreyVibe yapay zekayı bir üretkenlik aracı olarak kullanırken, GTG-1002 saldırıyı büyük ölçüde yapay zekaya devretti. Aşağıdaki tablo iki yaklaşımı karşılaştırıyor.

Anthropic'in Mart 2025 ile Mart 2026 arasında yasakladığı 832 kötü amaçlı hesabı haritalayan analizine göre tehdit aktörleri yapay zekayı saldırının geç ve karmaşık aşamalarında giderek daha fazla kullanıyor. Bu iki vaka, yapay zekanın saldırı maliyetini düşürdüğü ve daha az kaynağa sahip grupların büyük ölçekli operasyonlar yürütmesini mümkün kıldığı bir döneme işaret ediyor.

Maliyet tarafı bu tablonun en kritik boyutu. Daha önce bir oltalama kampanyası, sahte site ağı ve özel zararlı yazılım hazırlamak haftalar süren uzmanlık gerektiriyordu. Ticari yapay zeka araçları bu işi aylık birkaç onluk dolarlık abonelik seviyesine indiriyor. GreyVibe örneğinde grup, açık kaynaklı veya jailbreak edilmiş özel modeller yerine doğrudan ChatGPT ve Gemini gibi yaygın araçları kullandı. Erişim engelinin bu kadar düşmesi, tehdit aktörü sayısının artması anlamına geliyor. Benzer riskler, daha önce ele alınan zararlı yapay zeka modelleri ve önlemleri konusunda da inceleniyor.

Kurumlar ve Bireyler Nasıl Korunabilir?

Saldırganın tuzakları ve zararlı yazılımı saatler içinde yeniden üretebildiği varsayımı, savunma stratejisinin temelini oluşturmalı. Tek seferlik göstergeleri (indicator) kovalamak yerine davranışsal boşlukları kapatmaya odaklanmak daha etkili. GreyVibe vakası, savunmanın da hızlanması gerektiğini gösteriyor.

Bireysel düzeyde birkaç önlem öne çıkıyor. Tanımadığınız bağlantılardan gelen ZIP veya RAR arşivlerini açmamak ilk kural. Sahte CAPTCHA sayfalarının istediği komutları kopyalayıp çalıştırmaktan kaçınmak da kritik. Her hesapta çok faktörlü kimlik doğrulamayı etkinleştirmek ve Telegram veya flört platformlarında tanımadığınız kişilerin paylaştığı bağlantılara güvenmemek listeyi tamamlıyor. ClickFix tarzı saldırılarda kurbanın komutu kendi eliyle çalıştırması, en kritik tuzak noktası.

Kurumsal düzeyde ise en az ayrıcalık prensibinin uygulanması, çalışan aktivitelerinin kayıt altına alınması, hassas verilere erişimin çok faktörlü doğrulamayla sınırlandırılması ve erken uyarı mekanizmalarının kurulması öneriliyor. Çalışanlara yönelik düzenli farkındalık eğitimleri de tabloyu tamamlıyor. GreyVibe'ın sahte CAPTCHA ve sahte bağış kampanyaları gibi yöntemleri, teknik savunmadan çok insan davranışını hedef alıyor. Yapay zekanın hem saldırı hem de savunma tarafında bir araç olduğu unutulmamalı. Bu konuda derinleşmek isteyenler için yapay zeka güvenliği ve hacklenebilirliği ayrı bir başlık olarak ele alınıyor.

Topluluk Ne Düşünüyor?

Endişe Duyanlar

Güvenlik araştırmacılarının bir bölümü GreyVibe'ı bir uyarı işareti olarak görüyor. SecurityWeek'e konuşan WithSecure ekibi, grubun yapay zeka kullanımının gelecekteki suç örgütlerinin ve devlet bağlantılı grupların nasıl çalışacağına dair bir öngörü sunduğunu belirtiyor. Saldırganların hız, ölçek ve sofistikasyonu artırmak için yapay zekayı kullandığı ve AI geliştikçe saldırganların kullanımının da gelişeceği belirtiliyor. FallSpy gibi mobil casus yazılımların aktif görevdeki askerleri hedef alması, riskin teknik olmaktan çıkıp can güvenliğine dokunduğunu gösteriyor.

Temkinli Yaklaşanlar

WithSecure raporu ise tabloyu dengeleyen bir nokta sunuyor. GreyVibe'ın saldırı zincirlerinin tamamen yeni olmadığı, yapay zekanın yalnızca mevcut yöntemleri hızlandırdığı belirtiliyor. Grubun operasyonel güvenlik hataları, yapay zekanın acemiliği örtmediğini kanıtlıyor. Anthropic'in raporunda da yapay zekanın kimlik bilgilerini halüsinasyona uğratması, tam otonom saldırıların henüz olgunlaşmadığını gösteriyor. Bu görüşe göre savunmacılar da aynı yapay zeka araçlarını kullanarak avantaj sağlayabilir.

Sıkça Sorulan Sorular

GreyVibe kimdir ve kimi hedef alıyor?

GreyVibe, WithSecure tarafından Mayıs 2026'da raporlanan, Rusça konuşan operatörlere dayandırılan bir tehdit grubu. Ağustos 2025'ten beri Ukrayna ordusu, kamu kurumları, sivil yapılar ve özel şirketleri hedef alıyor. Komuta altyapısı Moskova saat dilimine ayarlı ve hedefleri Rus istihbarat çıkarlarıyla örtüşüyor.

GreyVibe hangi yapay zeka araçlarını kullandı?

Grup ChatGPT ve Google Gemini'yi kod geliştirme ve yeniden düzenleme için, Ideogram AI'yı ise görsel üretimi için kullandı. Yapay zeka ayrıca oltalama metinlerinin yazılması, sahte web sitesi içeriklerinin üretilmesi ve arka uç altyapı betiklerinin hazırlanmasında devreye girdi.

AI destekli siber saldırı geleneksel saldırılardan ne kadar farklı?

Temel fark hızda ve ölçekte. Yapay zeka, saldırganların tuzakları ve zararlı yazılımı haftalar yerine saatler içinde yeniden üretmesini sağlıyor. Anthropic'in açıkladığı GTG-1002 kampanyasında yapay zeka saldırının yüzde 80-90'ını saniyede birden fazla istekle yürüttü, ki bu hız insan ekipler için imkansız.

ClickFix saldırısı nedir ve nasıl çalışır?

ClickFix, sahte CAPTCHA veya doğrulama sayfaları kullanan bir tuzak yöntemi. Kullanıcı kendisini bir Cloudflare veya Zoom doğrulaması zanneder ve verilen komutu kendi eliyle çalıştırır. Bu komut arka planda zararlı yazılımın yüklenmesini başlatır. GreyVibe bu yöntemi PhantomClick zincirinde kullandı.

GreyVibe saldırılarından korunmak için ne yapılmalı?

Tanımadığınız kaynaklardan gelen arşiv dosyalarını açmamak, sahte doğrulama sayfalarının istediği komutları çalıştırmamak ve çok faktörlü kimlik doğrulamayı her hesapta etkinleştirmek temel adımlar. Kurumlar için en az ayrıcalık prensibi, aktivite kaydı ve erken uyarı sistemleri öneriliyor.

GreyVibe doğrudan Rus devletine mi bağlı?

WithSecure, grubu doğrudan Rus devletine bağlamak için yeterli kanıt bulunmadığını belirtiyor. Araştırmacılar grubun siber suç ekosistemiyle bağlantısı olduğunu orta güvenle değerlendiriyor. Grup, siber suç ile devlet bağlantılı faaliyet arasında gri bir alanda konumlanıyor.

WithSecure'un takip ettiği DroneLink zincirinin GreyVibe ile ilişkisi hala araştırılıyor. Yapay zekanın saldırı tarafındaki rolü derinleştikçe, savunma tarafının da aynı araçlarla ne kadar hızlı uyum sağlayacağı önümüzdeki aylarda görülecek.