Blockchain ve Kripto Para , Siber Suçlar , Siber Savaş / Ulus-Devlet Saldırıları
Eyalet ve Kriminal Bilgisayar Korsanları Yayından Kaldırma İşlemlerinden Kaçmak için Blockchain Tekniğini Kullanıyor
Rashmi Ramesh (raşmiramesh_) •
16 Ekim 2025
Google’ın Tehdit İstihbarat Grubu’nun araştırmasına göre, en az iki bilgisayar korsanlığı grubu, kötü amaçlı yazılımları gizlemek ve kontrol etmek için operasyonlarını ortadan kaldırmayı neredeyse imkansız hale getirecek şekilde halka açık blok zincirleri kullanıyor.
Ayrıca bakınız: İsteğe Bağlı | Kuzey Kore’nin Gizli Bilişim Ordusu ve Bununla Nasıl Mücadele Edilir?
Araştırmacılar, biri Kuzey Koreli bir devlet aktörü tarafından, diğeri ise mali güdümlü bir siber suç grubu tarafından yürütülen ve kötü amaçlı yazılım operasyonlarını göz önünde gizlemek için halka açık blockchain’lerden yararlanan iki ayrı kampanyayı ortaya çıkardı.
EtherHiding olarak bilinen teknik, kötü niyetli talimatları geleneksel sunucular yerine blockchain akıllı sözleşmelerine yerleştiriyor. Blockchain merkezi olmayan ve değiştirilemez olduğundan saldırganlar, araştırmacıların “kurşun geçirmez” dediği altyapıyı elde ediyor.
Google Cloud’un bir parçası olan Mandiant’ın danışmanlık lideri Robert Wallace, bu gelişmenin “tehdit ortamında artışa” işaret ettiğini söyledi. Bilgisayar korsanları, “kolluk kuvvetlerinin müdahalelerine karşı dayanıklı” ve “yeni kampanyalar için kolayca değiştirilebilen” bir yöntem buldu.
Araştırmacılar, bilgisayar korsanlarının EtherHiding’i farklı amaçlara uyarladıklarını söyledi. Kuzey Kore bağlantılı UNC5342, bunu geliştiricilere ve kripto para firmalarına sızmak için bir sosyal mühendislik kampanyasının parçası olarak kullanırken, UNC5142 bunu saldırıya uğramış WordPress siteleri aracılığıyla bilgi hırsızlarını yaymak için kullanıyor.
EtherHiding ilk olarak 2023 yılında, saldırganların kurbanları sahte tarayıcı güncelleme istemleriyle kandırdığı ClearFake adlı finansal amaçlı bir kampanyada ortaya çıktı. Konsept, kötü amaçlı kodu bir blockchain işleminde veya akıllı sözleşmede depolamak ve onu neredeyse hiç iz bırakmayan salt okunur çağrılar kullanarak getirmektir.
Bu çağrılar görünür işlemler oluşturmadığından, savunucular alan adları veya IP adresleri gibi geleneksel göstergelere güvenemezler. Raporda, blockchain çalışır durumda olduğu sürece “kötü amaçlı kodun erişilebilir durumda kalacağı” belirtildi.
Kuzey Koreli Grup Geliştiricileri Hedefliyor
Kuzey Koreli tehdit grubu UNC5342, EtherHiding’i Palo Alto Networks’ün daha önce Bulaşıcı Röportaj kampanyası olarak adlandırdığı kampanyaya entegre etti. Operasyon, LinkedIn’de ve iş kurullarında işe alım uzmanlarını taklit ederek geliştiricilere “BlockNovas LLC” ve “Angeloper Agency” gibi sahte firmaların teklifleriyle yaklaşıyor.
Tehdit aktörü, hedefleri Telegram ve Discord gibi mesajlaşma uygulamalarındaki aşamalı röportajlara çekti. Sözde bir teknik test sırasında kurbanlardan, ethereum ve BNB Akıllı Zincir ağlarındaki saldırgan kontrollü akıllı sözleşmelerle iletişim kurmak için EtherHiding’i kullanan JadeSnow ve InvisibleFerret gibi kötü amaçlı yazılımlar içeren GitHub veya npm depolarından dosya indirmeleri istendi.
Araştırmacılar ayrıca enfeksiyon zincirinin nasıl ortaya çıktığını da takip etti: JadesNow indiricisi, InvisibleFerret arka kapısını sağlayan şifrelenmiş JavaScript verilerini getirmek için blockchain sözleşmelerini sorguluyor. Kötü amaçlı yazılım yüklendikten sonra verileri sızdırabilir, kimlik bilgilerini ele geçirebilir ve sistemi uzaktan kontrol edebilir.
Araştırmacılar, InvisibleFerret’in bazı durumlarda web tarayıcılarını ve MetaMask ve Phantom gibi kripto para cüzdanlarını hedeflemek için tasarlanmış ek bir kimlik bilgisi çalma bileşeni kullandığını gözlemledi. Çalınan veriler hem saldırgan sunuculara hem de özel Telegram kanallarına sızıyor.
Kampanya, Kuzey Kore rejimi için kripto para geliri sağlıyor ve güvenliği ihlal edilmiş geliştiricilerden istihbarat topluyor.
Finansal Odaklı UNC5142, WordPress’ten Yararlanıyor
Ayrı bir raporda Google Mandiant, web sitelerine virüs bulaştırmak ve çeşitli bilgi hırsızlığı yapan kötü amaçlı yazılımları dağıtmak için EtherHiding’e güvenen, finansal motivasyona sahip bir aktör olan UNC5142’nin profilini çıkardı.
Aktör, BNB Akıllı Zincirindeki akıllı sözleşmeleri kontrol katmanları olarak kullanan, toplu olarak ClearShort olarak adlandırılan JavaScript indiricilerini enjekte ederek savunmasız WordPress sitelerini tehlikeye atıyor. Komut dosyaları, ikinci aşamadaki verileri veya saldırgan tarafından barındırılan açılış sayfalarına bağlantılar getirir.
UNC5142’nin altyapısı, uyum sağlamak için meşru platformların kullanılmasıyla öne çıkıyor. Kötü amaçlı sayfalar Cloudflare’de barındırılıyor pages.dev hizmet ve komuta-kontrol bilgileri blok zincirinde saklanır. Google ekibi, 2025’in ortalarına kadar UNC5142’nin enjekte ettiği komut dosyalarının izlerini taşıyan yaklaşık 14.000 web sitesi buldu.
Grup zamanla mimarisini tek bir akıllı sözleşmeden, bir yazılım “proxy modelini” taklit eden üç katmanlı bir sisteme genişletti. Bu, güvenliği ihlal edilmiş sitelere dokunmadan hızlı güncellemelere olanak tanır. Sözleşmelerden biri yönlendirici görevi görüyor, diğeri kurbanın sisteminin parmak izini alıyor ve üçüncüsü şifrelenmiş yük verilerini ve şifre çözme anahtarlarını tutuyor. Ağ ücreti olarak bir dolar kadar düşük maliyetli tek bir blockchain işlemi, virüs bulaşmış binlerce sitedeki yem URL’lerini veya şifreleme anahtarlarını değiştirebilir.
Araştırmacılar, tehdit aktörünün kurbanları kötü amaçlı komutlar çalıştırmaya ikna etmek için sahte Cloudflare doğrulaması veya Chrome güncelleme istemleri gibi sosyal mühendislik hileleri kullandığını söyledi. Yemler Vidar, Lummac.V2 ve RadThief gibi bilgi hırsızları sunuyor. Kampanyalar ayrıca AES-GCM ile daha güçlü şifrelemeye ve gelişmiş gizlemeye doğru ilerleme gösteriyor.
Bir örnekte, saldırganın JavaScript’i Cloudflare’den şifrelenmiş HTML sayfalarını getirdi, bunların şifresini istemci tarafında çözdü ve kullanıcılardan, medya dosyaları olarak gizlenmiş son verileri indiren gizli PowerShell komutlarını yürütmelerini istedi.
Araştırmacıların blockchain işlemlerine ilişkin analizi, UNC5142’nin Ana ve İkincil olarak adlandırılan, aynı akıllı sözleşme kodunu kullanan ve kripto para borsası OKX aracılığıyla bağlanan cüzdanlar tarafından finanse edilen en az iki paralel altyapıyı sürdürdüğünü gösterdi. Her ikisinde de güncellemeler birkaç dakika arayla gerçekleşti; bu da tek bir aktörün koordineli kontrolünü akla getiriyor.
Kalıcı Bir Sorun
Tehdit aktörlerinin hiçbiri doğrudan blockchain düğümleriyle etkileşime girmiyor; bunun yerine veri almak için genel RPC uç noktaları veya API sağlayıcıları gibi merkezi hizmetlere bağlı kalıyor. Araştırmacılar, bağımlılığın savunucuların veya hizmet sağlayıcıların potansiyel olarak müdahale edebileceği “gözlem ve kontrol noktaları” yarattığını söyledi.
UNC5342 vakasında araştırmacılar, kampanyada kullanılan çeşitli API sağlayıcılarıyla iletişime geçti. Bazıları kötü niyetli etkinlikleri engellemek için hızlı harekete geçti, bazıları ise bunu yapmadı. Araştırmacılar, aracıların tutarsız işbirliğinin “bu tekniğin tehdit aktörleri arasında yayılma riskini artırdığını” söyledi.
Akıllı sözleşmeler halka açık ve değişmezdir; yani güvenlik ekipleri bunları kolayca kaldıramaz veya engelleyemez. Kötü amaçlı olarak etiketlenmiş olsa bile koda her zaman erişilebilir olacaktır.
Geleneksel web trafiği için oluşturulan ağ tabanlı filtreler, merkezi olmayan Web3 modelleriyle mücadele ediyor. Cüzdan adreslerinin anonimliği ve blockchain işlemlerinin düşük maliyeti, aktörlerin hızlı bir şekilde yineleme yapmasına ve kampanyaları süresiz olarak sürdürmesine olanak tanıyor.
UNC5142’nin operasyonlarında araştırmacılar, kötü amaçlı yazılım dağıtım zincirinin tamamını güncellemenin işlem başına 25 sent ile 1,50 dolar arasında bir maliyete sahip olduğunu tahmin etti. Verimlilik, blockchain depolamanın değişmezliğiyle birleştiğinde saldırganlara geleneksel altyapıyı aşan bir çeviklik kazandırır.
Araştırmacılar ayrıca olası tıkanma noktalarını da belirlediler. Saldırganlar genellikle blockchain ile arayüz oluşturmak için üçüncü taraf API’lere veya barındırma platformlarına güvendiğinden, sağlayıcıların koordineli yanıtları erişimin kesintiye uğramasına yardımcı olabilir. Chrome Enterprise’ın merkezi yönetim araçları, yöneticilerin kötü amaçlı indirmeleri engellemesine veya otomatik tarayıcı güncellemelerini zorunlu kılmasına olanak tanıyarak, daha önceki kampanyalarda kullanılan sahte “güncelliği geçmiş Chrome” istemlerini baltalayabilir.
Araştırmacılar, blockchain tabanlı barındırmanın benimsenmesinin “kötü amaçlı yazılımlara karşı dayanıklılıkta yeni bir aşamaya işaret ettiğini” söyledi. Savunmacılar hâlâ merkezi temas noktalarını izleyebiliyor ancak temeldeki halka açık, dağıtılmış ve değişmez altyapı, saldırganlara bir avantaj sunuyor.