FUNNULL bağlantılı dolandırıcılık ağı yeniden ortaya çıktı

Yaptırımlar sonrası faaliyetlerini durdurması beklenen FUNNULL altyapısı, aslında çok daha karmaşık bir yapıyla geri döndü. Triad Nexus adlı siber suç ağı, küresel çapta dolandırıcılık operasyonlarını sürdürmek için sistemini yeniden organize etti.

ABD Hazine Bakanlığı’nın 2025 yılında FUNNULL Technology Inc. ve yöneticilerine yönelik yaptırımlarına rağmen, ağ tamamen kapanmak yerine daha gelişmiş bir operasyonel güvenlik modeli benimsedi. Bu süreçte özellikle kripto yatırım dolandırıcılıkları ve “domuz kasaplığı” olarak bilinen uzun vadeli dolandırıcılık yöntemleri devam etti.

200 milyon doları aşan küresel zarar

Araştırmalara göre Triad Nexus ağı, dünya genelinde 200 milyon doların üzerinde maddi kayıpla ilişkilendiriliyor. Bireysel mağdurların ortalama kaybı ise yaklaşık 150.000 dolar seviyesinde.

Ağ, özellikle gelişmekte olan ülkeleri hedef alırken aynı zamanda Batılı şirketleri ve kullanıcıları da sistematik şekilde taramaya devam ediyor. Bu durum, operasyonun sadece bölgesel değil küresel ölçekte planlandığını gösteriyor.

Altyapı aklama yöntemi kullanılıyor

Triad Nexus’un en dikkat çekici yönlerinden biri, doğrudan kötü amaçlı sunucular yerine “altyapı aklama” adı verilen bir yöntem kullanması. Bu yöntemde:

• Amazon, Google, Cloudflare ve Microsoft gibi büyük bulut sağlayıcıların hesapları kötüye kullanılıyor
• Sahte siteler bu platformlar üzerinden yayınlanarak meşru görünüm kazandırılıyor
• Trafik, farklı ağlar arasında bölünerek izlenmesi zor hale getiriliyor

Bu yaklaşım, güvenlik sistemlerinin saldırıları tespit etmesini ciddi şekilde zorlaştırıyor.

175’ten fazla dönen alan adıyla izlenmesi zor yapı

Yeni altyapının en kritik parçası, sürekli değiştirilen alan adı sistemi. Ağ artık:

• 175’ten fazla rastgele oluşturulmuş CNAME alan adı kullanıyor
• Bu alan adlarını sürekli değiştirerek izlenmeyi zorlaştırıyor
• Zincirleme yönlendirmelerle gerçek sunucuya ulaşmayı gizliyor

Bu yapı sayesinde saldırılar, klasik güvenlik analiz araçlarından kaçabiliyor.

Sahte sitelerle geniş çaplı kimlik avı

Ağ, kullanıcıları kandırmak için oldukça gelişmiş sahte siteler kullanıyor. Bu siteler:

• Banka ve finans platformlarını
• Lüks markaları (örneğin moda ve mücevher markaları)
• E-ticaret ve lojistik hizmetlerini

birebir kopyalayarak kullanıcıların güvenini kazanıyor. Amaç ise kullanıcı bilgilerini, finansal verileri ve doğrudan para transferlerini ele geçirmek.

Coğrafi engelleme ile denetimden kaçış

Triad Nexus ayrıca dikkat çekici bir savunma mekanizması kullanıyor. Birçok sahte site:

• ABD IP adreslerinden erişildiğinde “451 Yasal Nedenlerle Kullanılamıyor” hatası gösteriyor
• Böylece güvenlik araştırmacılarının erişimini sınırlıyor

Bu yöntem, saldırganların faaliyetlerini gizli tutmasına yardımcı oluyor.

Çok dilli dolandırıcılık kampanyaları

Ağ, daha geniş kitlelere ulaşmak için farklı dillerde içerikler kullanıyor. Özellikle:

• İspanyolca
• Vietnamca
• Endonezce

gibi dillerde hazırlanan kampanyalarla kullanıcılar hedef alınıyor.

Sahte CDN şirketleri ile gizlenme

Triad Nexus, faaliyetlerini gizlemek için sahte CDN ve bulut hizmeti markaları da oluşturuyor. Bu sahte şirketler:

• Meşru hizmet veriyormuş gibi reklam yapıyor
• Trafiği arka planda dolandırıcılık altyapısına yönlendiriyor

Bu da ağın profesyonel ve güvenilir görünmesini sağlıyor.

Güvenlik açısından ne anlama geliyor?

Bu gelişmeler, klasik siber güvenlik yaklaşımlarının artık yetersiz kaldığını gösteriyor. Uzmanlara göre:

• Sadece zararlı IP veya alan adı engellemek yeterli değil
• CNAME zincirleri ve altyapı davranışları izlenmeli
• Proaktif güvenlik önlemleri uygulanmalı

Aksi halde bu tür gelişmiş dolandırıcılık ağları, hem bireyler hem de kurumlar için ciddi tehdit oluşturmaya devam edecek.