WordPress Siteleri için Yeni Tehdit: UNC5142 Hacker Grubu

Dünyada bulunan web sitelerinin yaklaşık %43'ü WordPress altyapısıyla işletilmektedir. Bu durum, WordPress'e yönelik gerçekleştirilen her yeni saldırının internet güvenliği açısından önemli bir endişe kaynağı olduğunu göstermektedir.

Google Tehdit İstihbarat Grubu (GTIG) tarafından yayımlanan son rapor, UNC5142 kod adıyla bilinen yeni bir hacker grubunun, WordPress sitelerine karşı gelişmiş bir saldırı kampanyası yürüttüğünü ortaya koymuştur.

Rapora göre, UNC5142, zayıf temalar, hatalı eklentiler veya savunmasız veritabanları barındıran WordPress sitelerini tespit ederek saldırıya geçmektedir.

Bunlara “CLEARSHORT” adı verilen çok aşamalı bir JavaScript indiricisi bulaşmaktadır. Bu zararlı yazılım, daha sonrasında kötü amaçlı yazılımların internet üzerinde yayılmasına imkan tanımaktadır.

YENİ TEHDİT TEKNİĞİ

Google, bu saldırıların en dikkat çekici özelliğinin “EtherHiding” adı verilen yeni bir teknik olduğunu vurgulamaktadır.

EtherHiding, kötü amaçlı kodu halka açık bir blok zincirine yerleştirerek gizleme yöntemi olarak tanımlanmaktadır.

Bu teknik, zararlı yazılımların geleneksel yollarla tespit edilmesini neredeyse imkânsız hale getirmektedir. Zira blok zinciri üzerinde depolanan kodlar merkezi bir sunucuda barındırılmadığı için silinmesi veya bloke edilmesi oldukça zordur.

SOSYAL MÜHENDİSLİK TUZAKLARI

Saldırının bir sonraki aşamasında, blok zincirindeki akıllı sözleşme (smart contract) bir CLEARSHORT açılış sayfası oluşturur. Bu sayfa genellikle Cloudflare tarafından geliştirilmiş platformlarda barındırılmakta olup “ClickFix” adlı sosyal mühendislik taktiğini kullanmaktadır.

ClickFix, kullanıcıları kandırarak bilgisayarlarında Windows “Çalıştır” penceresi veya Mac Terminal uygulaması üzerinden kötü niyetli komutlar çalıştırmaları için yönlendirmektedir.

FİNANSAL AMAÇLI SALDIRILAR

GTIG, UNC5142 grubunun saldırılarının genellikle finansal motivasyonla gerçekleştirildiğini bildirmektedir. Bu grup, Google tarafından 2023 yılından beri izlenmektedir. Ancak rapora göre, UNC5142’nin faaliyetleri Temmuz 2025 itibarıyla ani bir şekilde sona ermiştir.

Bu durum, hacker grubunun operasyonlarını gerçekten sonlandırmış olabileceği gibi, yöntemlerini değiştirip daha gizli bir biçimde saldırılarına devam ediyor olabileceği anlamına da gelmektedir.

14 BİN SİTE HEDEF OLDU

Haziran 2025 itibarıyla GTIG, söz konusu hacker grubuna ait JavaScript içeren yaklaşık 14 bin web sayfasını, hacker grubu tarafından ele geçirilmiş bir web sitesiyle ilişkilendirerek tespit etmiştir.

Kurum, "UNC5142, savunmasız WordPress sitelerini ayrım gözetmeksizin hedef alıyor" ifadelerini kullanmaktadır.

NE YAPMALI?

Siber güvenlik uzmanları, özellikle WordPress kullanıcılarını şu hususlarda uyarmaktadır:

• Eklentilerin ve temaların her zaman güncel tutulması,
• Güvenilir olmayan kaynaklardan tema veya eklenti indirilmemesi,
• Site dosyalarının düzenli olarak zararlı yazılım taramasına tabi tutulması gerekmektedir.

Google’ın bulguları, siber saldırıların artık yalnızca klasik virüslerle değil, aynı zamanda blok zinciri teknolojisinin kötüye kullanılmasıyla da yeni bir aşamaya geçtiğini göstermektedir.