ABD, Kuzey Kore’nin Global Sahte BT İşçi Ağına bağlı kriptoda 7,74 milyon dolar ele geçiriyor

ABD Adalet Bakanlığı (DOJ), Federal Mahkemede, 7.74 milyon doların üzerinde kripto para birimini, figürü olmayan jetonları (NFT) ve diğer dijital varlıkların Kuzey Kore tarafından düzenlenen küresel bir BT işçisi programına bağlı olduğu iddia edilen bir sivil kaybetme şikayeti sunduğunu söyledi.

Adalet Bakanlığı Ulusal Güvenlik Bölümü başkanı Sue J. Bai, “Yıllarca, Kuzey Kore, ABD yaptırımlarından kaçınmak ve silah programlarından kaçınmak için küresel uzaktan kumandalı BT sözleşmesi ve kripto para birimi ekosistemlerini kullandı.” Dedi.

Adalet Bakanlığı, fonların başlangıçta BT işçileriyle komplo kurduğuna inanılan Kuzey Kore Dış Ticaret Bankası (FTB) temsilcisi Sim Hyon-Sop’a karşı bir iddianame ile ilgili olarak kısıtlandığını söyledi.

BT işçileri, ABD kripto para birimi şirketlerinde sahte kimlikler kullanarak istihdam elde etti ve daha sonra ABD Hazine Dış Varlık Kontrolü (OFAC) ve Birleşmiş Milletler tarafından getirilen yaptırımları ihlal ederek Pyongyang’ın stratejik hedeflerine daha fazla kazandırılmış kazançlarını akladı.

Hileli şema 2017’de kökenlerinden bu yana büyük bir operasyona dönüştü. Yasadışı istihdam operasyonu, openai chatgpt gibi yapay zeka (AI) araçlarının yardımına yardım etmek ve serbest işleri güvence altına almak için çalıntı ve hayali kimliklerin bir kombinasyonundan yararlanıyor.

Monikerler Wagmole ve UNC5267 altında izlenen faaliyetin, Kore İşçi Partisi’ne bağlı olduğu değerlendirilir ve Kuzey Kore için istikrarlı bir gelir kaynağı çizmek üzere işçileri meşru şirketlere yerleştirmek için metodik olarak tasarlanmış bir strateji olarak görülür.

Kimliklerin ve yerlerin yanlış sunulmasının yanı sıra, operasyonun temel bir yönü, dünyanın dört bir yanındaki dizüstü bilgisayar çiftliklerini çalıştırmak, video görüşme aşamalarını etkinleştirme ve gelirleri çeşitli hesaplar aracılığıyla yıkamak için kolaylaştırıcıların işe alınmasını içerir.

Bu tür bir dizüstü bilgisayar kolaylaştırıcısı, bu Şubat ayının başlarında yasadışı gelir yenilenme planına katılımından dolayı suçlu olduğunu iddia eden Christina Marie Chapman’dı. Geçen ay yayınlanan bir raporda, Wall Street Journal, Mart 2020’deki bir LinkedIn mesajının Tiktok’ta 100.000’den fazla takipçisi olan eski bir garson ve masaj terapisti Drew Chapman’ın karmaşık aldatmacaya nasıl ortaya çıktığını açıkladı. 16 Temmuz’da mahkum edilmesi planlanıyor.

DOJ, “Bu fonları yıkadıktan sonra, Kuzey Koreli BT işçilerinin onları zaman zaman Sim ve Kim Sang Man aracılığıyla Kuzey Kore hükümetine geri gönderdikleri iddia edildi.” Dedi. “Kim, ‘Jinyong IT işbirliği şirketi’ olarak da bilinen ‘Chinyong’un genel müdürü olan Kuzey Kore vatandaşıdır.”

TRM Labs tarafından SIM’in kripto para cüzdanının analizi, Ağustos 2021’den Mart 2023’e kadar kripto para biriminde 24 milyon dolardan fazla aldığını ortaya koydu.

Kuzey Kore örgütsel değerlendirmesi

TRM Labs, “Bu fonların çoğu, sahte Rus kimlik belgeleri kullanılarak açılan ve BAE ve Rusya’dan faaliyet gösteren Kore dil cihazlarından erişilen Kim’in hesaplarına kadar izlendi.” Dedi. “Kuzey Koreli bir yetkili olan Sim, Dubai’den faaliyet gösterdi ve düzinelerce kaynaktan aklanan fon alan kendi kendine barındırılan bir cüzdan sürdürdü.”

Kim, Vladivostok, Rusya’daki üssünden, BT işçileri ve FTB arasında bir aracı görevi gördü, onlardan fon toplamak ve gelirleri SIM’e ve Kuzey Kore’ye bağlı diğer cüzdanlara yeniden dağıtmak için iki hesap kullandı.

Siber güvenlik şirketi DTEX, BT işçi tehdidini, esas olarak yaptırımların kaçınma ve kar elde etmeye yönelik bir devlet destekli suç sendikası olarak nitelendirdi, tehdit aktörleri dizüstü bilgisayar çiftliklerinden yavaş yavaş kendi makinelerini kendi cihazlarınızı (BYOD) politikalarınızı getirmeye yönlendiriyor.

Hacker News, “Fırsat gerçekten tek taktik ve her şey bir tür araç olarak ele alınıyor.”

“Odak noktası, bu kelimeyi oraya çıkarmakta çok iyi olan dizüstü bilgisayar çiftlikleri üzerindeyse, o zaman doğal olarak bu fırsatçı ulus, operasyonları etkiliyorsa yolun çok daha kolay olduğu yere yönelmek istiyor. Dizüstü bilgisayar çiftlikleri artık etkili olmayacak kadar, bu hala bir seçenek olacak, ancak BYOD’un kötüye kullanılması, DTEX’in araştırmalarda görüldüğü ve farmlar olduğu gibi görülmediği bir şeydi.”

DTEX ayrıca, bu BT işçilerinin iki kategoriden herhangi biri altında olabileceğine dikkat çekti: her biri Kuzey Kore’nin siber yapısı içinde kendi işlevi olan BT İşçileri (R-ITW) veya kötü niyetli BT İşçileri (M-ITW).

R-ITW personelinin daha az ayrıcalıklı olduğu ve öncelikle rejim için para kazanmak için motive olduğu söylenirken, M-ITW aktörleri bir kurban müşterisini zorlayarak, bir kripto para birimi sunucusunu sabote ederek, değerli fikri mülkiyet çalarak veya bir ortamda kötü amaçlı kod yürüterek gelir üretiminin ötesine geçer.

İçeriden risk yönetimi firmasına göre Chinyong, işçilerini Blockchain projelerine içeriden erişiminden yararlanarak işçilerini serbest BT çalışması ve kripto para hırsızlığı kombinasyonuna yerleştiren birçok BT şirketinden biridir. Çin, Laos ve Rusya dışında faaliyet gösteriyor.

Chinyong ile ilgili BT işçisi çabalarıyla ilişkili iki kişi, Personas Naoki Murano ve Jenson Collins’i Kuzey Kore için fon toplamak için kullandığı için maskelendi, Murano daha önce Eylül 2024’te Crypto firması Deltaprime’da 6 milyon dolarlık bir soyguyla bağlantılı.

Güvenlik araştırmacısı Matt Ryan, “Nihayetinde, DPRK bağlantılı dizüstü bilgisayar çiftliklerinin ve uzaktan işçi planlarının tespiti, savunucuların geleneksel uzlaşma göstergelerinin ötesine bakmasını ve altyapı, davranış ve erişim hakkında farklı sorular sormaya başlamasını gerektiriyor.” Dedi. Diyerek şöyle devam etti: “Bu kampanyalar sadece kötü amaçlı yazılım veya kimlik avı ile ilgili değil; genellikle meşru uzaktan çalışma ile sorunsuz bir şekilde karışacak şekilde yürütülen ölçekte aldatma ile ilgili.”

Yayılan multi milyon dolarlık sahtekarlık hakkında daha fazla araştırma, BT işçilerine sahte referanslar sağlamak için kullanılan çeşitli ön şirketler için kurulan sahte alanlara bağlı birkaç hesabı ortaya çıkarmıştır. Flashpoint, bu hesaplara bilgi çalan kötü amaçlı yazılımlarla enfekte olduğunu ve Tradecraft’ın bazı yönlerini işaretlemesini sağladığını belirtti.

Şirket, Pakistan’ın Lahore kentinde bulunan ve bebek kutusu bilgisi, Helix US ve Cubix Tech US ile ilişkili alan adlarını kaydederken bir iletişim noktası olarak kullanılan bir kimlik bilgisi içeren uzlaşmış bir ev sahibi tespit ettiğini söyledi.

Bunun da ötesinde, başka bir örnekte Stealer kötü amaçlı yazılımlar tarafından yakalanan tarayıcı geçmişi, sahte iş referansları ve nakliye elektronik cihazları sağlamakla ilgili olanlar da dahil olmak üzere İngilizce ve Korece arasında düzinelerce çeviriyle ilgili Google Çeviri URL’lerini yakaladı.

Hepsi bu değil. Son araştırmalar ayrıca, Kuzey Koreli BT işçileri tarafından Asya’da fiziksel olarak yerleştirilirken bir dizüstü bilgisayar çiftliğinde şirket tarafından verilen dizüstü bilgisayarlara kalıcı erişim sağlamak için kullanılan “gizli, çok katmanlı uzaktan kumandalı bir sistem” attı.

Sygnia, Nisan 2025’te yayınlanan bir raporda, “Operasyon, uzaktan erişimi sürdürmek ve zoom kullanarak veri görünürlüğünü ve kontrolü sağlamak için düşük seviyeli protokol sinyali ve meşru işbirliği araçlarının bir kombinasyonundan yararlandı.” Dedi. […] olay tabanlı eylemleri tetiklemek için ARP paketlerinin kötüye kullanılması, özel bir WebSocket tabanlı komut ve kontrol (C2) kanalı ve Zoom’un uzaktan kontrol özelliklerinin otomasyonunu içeriyordu. “

“Gizli ve otomasyonu daha da geliştirmek için spesifik Zoom istemci konfigürasyonları gerekliydi. Kullanıcılara dönük göstergeleri ve görsel-işitsel rahatsızlıkları önlemek için ayarlar titizlikle ayarlandı. Kullanıcılar sürekli olarak imzalandı, video ve ses birleştikten sonra otomatik olarak sessizdi, katılımcı isimleri gizli, ekran paylaşımı görünür göstergeler olmadan başlatıldı ve önizleme pencereleri engelliydi.”

Wagemole için tamamlayıcı koşmak, bulaşıcı röportaj (diğer adıyla aldatma gelişimi, ünlü chollima, gwisin çetesi, inatçı pungsan, unc5342 ve void dokaebi) olarak adlandırılan başka bir kampanya, geliştiricileri, geliştiricileri, kazanma istihdamının aksine yerine tasarlanmamış şirket erişimi kazanmak için yürütür.

Barnhart, “Gwisin çetesi açıkçası, bir işe başvurma sürecini almak yerine zaten iş sahibi olan birini hedefleyen işçilerdir.” Dedi. “Bu kavramı da yansıtan kötü amaçlı yazılım kullanımına sahip olmaları bakımından yükseltilmiş ve benzersiz görünüyorlar. İşçiler kapsayıcı bir terim ve aralarında birçok stil, çeşit ve beceri seviyesi var.”

BT işçi planının önümüzdeki yıllarda nasıl gelişebileceği konusunda Barnhart, geleneksel finans sektörüne hedef olarak işaret ediyor.

Barnhart, “Blockchain ve Web3 teknolojilerinin geleneksel finansal kurumlara uygulanmasıyla, bu alandaki tüm DPRK siber varlıklarının bu şirketlerde yıllar önce gerçekleştiği gibi koşmayı hedefleyeceğini düşünüyorum.” “Bu teknolojilerle ne kadar çok entegre olursak, DPRK’nın çok yerleşik olduğu için o kadar dikkatli olmalıyız.”