Kuzey Kore ile bağları olan çoklu tehdit faaliyetleri (Kore Demokratik Halk Cumhuriyeti veya DPRK), Web3 ve kripto para birimi alanındaki organizasyonları ve bireyleri hedefleyen saldırılarla bağlantılıdır.
Google’a ait maniant, Hacker News ile paylaşılan 2025 tarihli M. trend raporunda, “Web3 ve kripto para birimine odaklanma, Kuzey Kore’ye yerleştirilen ağır yaptırımlar nedeniyle öncelikle finansal olarak motive ediliyor gibi görünüyor.” Dedi.
Diyerek şöyle devam etti: “Bu faaliyetler, Kuzey Kore’nin Kütle İmha Silahları (KİS) programını ve diğer stratejik varlıkları finanse eden finansal kazanımlar üretmeyi amaçlıyor.”
Siber güvenlik firması, DPRK-Nexus tehdit aktörlerinin Golang, C ++ ve Rust gibi çeşitli dillerde yazılmış özel araçlar geliştirdiğini ve pencereleri, linux ve macOS işletim sistemlerini enfekte edebildiğini söyledi.
UNC1069, UNC4899 ve UNC5342 olarak izlediği en az üç tehdit etkinliği kümesi Kripto para birimi ve blockchain-geliştirme topluluğunun üyelerini hedefledikleri, özellikle de kripto para birimi cüzdanlarına yasadışı erişim elde etmek için Web3’e katılan projelerde çalışan geliştiricilere ve bunları kullanan organizasyonlara odaklandığı bulunmuştur.
Tehdit aktörlerinin her birinin kısa bir açıklaması aşağıdadır –
- UNC1069 (En azından Nisan 2018’den beri aktif), sahte toplantı davetleri göndererek ve kurbanların dijital varlıklarına ve kripto para birimine erişmek için Telegram’da saygın şirketlerden yatırımcı olarak poz vererek sosyal mühendislik manastırları kullanarak farklı endüstrileri hedefleyen
- UNC4899 (2022’den beri aktif), kötü amaçlı yazılımları sözde kodlama ödevinin bir parçası olarak sunan ve daha önce finansal kazanç için tedarik zinciri uzlaşmalarını düzenleyen iş temalı kampanyaların düzenlenmesi ile bilinen (yeşim sleet, pukchong, yavaş Balıklar, Tradertritor ve UNC4899 ile örtüşüyor)
- UNC5342 (Ocak 2024’ten bu yana aktif), geliştiricileri kötü amaçlı yazılımları çalıştırmak için kandırmak için işle ilgili yemleri kullanmakla da bilinen (bulaşıcı röportaj, aldatıcı geliştirme, geliştirme, dev#popper ve ünlü chollima ile örtüşüyor)
Bir başka Kuzey Koreli tehdit aktörü, ticaret yazılımı uygulamalarını troşalize ederek blockchain endüstrisini seçen ve 2023’ün başlarında 3CX’te basamaklı bir tedarik zinciri saldırısına atfedilen UNC4736’dır.
Mantiant, Kripto para birimi sektörünü hedefleyen büyük ölçekli kimlik avı kampanyaları yürüten UNC3782 olarak izlenen ayrı bir Kuzey Kore faaliyet kümesini de belirlediğini söyledi.
Şirket, “2023’te UNC3782, Tron kullanıcılarına karşı kimlik avı operasyonları gerçekleştirdi ve tek bir günde 137 milyon dolardan fazla varlık aktardı.” “UNC3782, 2024 yılında Solana kullanıcılarını hedeflemek ve bunları kripto para birimi süzücüleri içeren sayfalara yönlendirmek için bir kampanya başlattı.”
Kripto para hırsızlığı, DPRK’nın uluslararası yaptırımları ortadan kaldırmaya devam ettiği birkaç araçtan biridir. En azından 2022’den bu yana, UNC5267 olarak adlandırılan aktif bir tehdit kümesi, Çin ve Rusya’da ikamet ederken ABD, Avrupa ve Asya’daki şirketlerde uzaktan istihdam işlerini güvence altına almak için binlerce vatandaşını gönderdi.
BT işçilerinin büyük bir kısmının, Kuzey Kore’deki nükleer programdan sorumlu olan 313 Mühimmat Endüstri Bölümü Genel Bürosu’na bağlı olduğu söyleniyor.
Kuzey Koreli BT işçileri, çalıntı kimlikleri kullanmanın yanı sıra, faaliyetlerini desteklemek için tamamen imal edilmiş kişiler kullanmışlardır. Bu aynı zamanda iş görüşmeleri sırasında ikna edici sentetik kimlikler oluşturmak için gerçek zamanlı DeepFake teknolojisinin kullanımı ile de tamamlanmaktadır.
Palo Alto Networks Birimi 42 araştırmacısı Evan Gordenker, “Bu iki temel operasyonel avantaj sunuyor. Birincisi, tek bir operatörün farklı sentetik kişiler kullanarak aynı pozisyon için röportaj yapmasına izin veriyor.” Dedi.
“İkincisi, operatörlerin güvenlik bültenlerine tanımlanmasını ve eklenmesini ve bildirimleri istemekten kaçınmasına yardımcı olur. Birleştirildiğinde, DPRK BT çalışanlarının gelişmiş operasyonel güvenlik ve azaltılmış tespit edilebilirlikten yararlanmasına yardımcı olur.”
İçeriden tehditleri yepyeni bir seviyeye taşıyan DPRK BT işçi şeması, stratejik hedeflerini ilerletmek, mağdur ağlarına uzun vadeli erişimi sürdürmek ve hatta işverenlerini zorlamak için maaşlarını Pyongyang’a geri çekmek için tasarlanmıştır.
Google Tehdit İstihbarat Grubu (GTIG) Jamie Collier ve Michael Barnhart geçen ay bir raporda, “Ayrıca işverenlere karşı gasp kampanyalarını da yoğunlaştırdılar ve kurumsal sanal masaüstlerinde, ağlarda ve sunucularda operasyonlar yürütmek için hareket ettiler.” Dedi.
“Şimdi Kuzey Kore için gelir elde etmenin yanı sıra verileri çalmak ve siber saldırıları etkinleştirmek için ayrıcalıklı erişimlerini kullanıyorlar.”
2024’te Mantiant, ABD ve Avrupa’da iş ararken en az 12 kişi kullanan şüpheli bir DPRK BT işçisini tanımladığını ve kuruluşlara sahte iddialar altında sızmak için bu tür alışılmadık yöntemlere dönmenin etkinliğini vurguladığını söyledi.
Tehdit istihbarat firması, “En az bir durumda, bir ABD şirketinde bir iş için iki sahte kimlik olarak kabul edildi, bir DPRK BT işçisi diğerini kazandı.” Başka bir örnekte, “Dört şüpheli DPRK BT işçisi 12 aylık bir süre içinde tek bir organizasyonda istihdam edildi.”