Kore Demokratik Halk Cumhuriyeti (Kuzey Kore veya Kuzey Kore) ile bağlantısı olan tehdit aktörleri, 2025’te küresel kripto para hırsızlığının artmasında etkili oldu ve Ocak ayından Aralık ayı başına kadar çalınan 3,4 milyar doların en az 2,02 milyar doları bunda etkili oldu.
The Hacker News ile paylaşılan Chainaliz Kripto Suç Raporu’na göre bu rakam, bir önceki yıla göre %51’lik bir artışı ve tehdit aktörlerinin 1,3 milyar dolar çaldığı 2024 yılına kıyasla 681 milyon dolar daha fazla olduğunu gösteriyor.
Blockchain istihbarat şirketi, “Bu, çalınan değer açısından Kuzey Kore kripto hırsızlığı açısından kayıtlardaki en şiddetli yılı işaret ediyor; Kuzey Kore saldırıları aynı zamanda tüm hizmet ihlallerinin %76’sını oluşturuyor” dedi. “Genel olarak, 2025’in rakamları, Kuzey Kore tarafından çalınan kripto para birimi fonlarına ilişkin alt sınır kümülatif tahminini 6,75 milyar dolara getiriyor.”
Kripto para borsası Bybit’in Şubat ayındaki uzlaşması, Kuzey Kore’nin yağmaladığı 2,02 milyar doların 1,5 milyar dolarından tek başına sorumlu. Saldırı, TraderTraitor (diğer adıyla Jade Sleet ve Slow Pisces) olarak bilinen bir tehdit kümesine atfedildi. Hudson Rock tarafından bu ayın başlarında yayınlanan bir analiz, Lumma Stealer bulaşmış bir makineyi, “trevorgreer9312@gmail” e-posta adresinin varlığına dayanarak Bybit hackiyle ilişkili altyapıya bağladı.[.]com.”
Kripto para birimi hırsızlıkları, Kuzey Kore destekli Lazarus Group adlı hack grubu tarafından son on yılda gerçekleştirilen daha geniş bir dizi saldırının parçası. Düşmanın ayrıca geçen ay Güney Kore’nin en büyük kripto para borsası Upbit’ten 36 milyon dolar değerindeki kripto paranın çalınmasına da karıştığına inanılıyor.
Lazarus Grubu, Pyongyang’ın Genel Keşif Bürosuna (RGB) bağlı. 2020 ile 2023 yılları arasında 25’ten fazla kripto para soygunundan en az 200 milyon doların çekildiği tahmin ediliyor.
Lazarus Grubu, aynı zamanda, savunma, üretim, kimya, havacılık ve uzay ve teknoloji sektörlerinde çalışan potansiyel çalışanlara, BURNBOOK, MISTPEN ve BADCALL gibi sonuncusu da Linux sürümü olan kötü amaçlı yazılımları indirmeleri ve çalıştırmaları için onları kandırmak üzere kazançlı iş fırsatlarıyla LinkedIn veya WhatsApp aracılığıyla yaklaşıldığı, Dream Job Operasyonu olarak adlandırılan uzun süredir devam eden bir kampanyayı yönetme geçmişine sahip en üretken bilgisayar korsanlığı gruplarından biridir.
Bu çabaların nihai amacı iki yönlüdür: hassas verileri toplamak ve ülkeye uygulanan uluslararası yaptırımları ihlal ederek rejim için yasa dışı gelir elde etmek.
Kuzey Koreli tehdit aktörlerinin benimsediği ikinci yaklaşım, bilgi teknolojisi (BT) çalışanlarını, sahte beyanlarla, bireysel olarak veya DredSoftLabs ve Metamint Studio gibi bu amaçla kurulmuş paravan şirketler aracılığıyla dünya genelindeki şirketlerin içine yerleştirmektir. Bu aynı zamanda kripto hizmetlerine ayrıcalıklı erişim elde etmeyi ve yüksek etkili uzlaşmalara olanak sağlamayı da içerir. Dolandırıcılık operasyonuna Wagemole adı verildi.
Chainalytics, “Bu rekor yılın bir kısmı muhtemelen borsalarda, saklayıcılarda ve Web3 firmalarında BT çalışanlarının sızmasına olan bağımlılığın arttığını yansıtıyor; bu da büyük ölçekli hırsızlık öncesinde ilk erişimi ve yanal hareketi hızlandırabilir” dedi.
Çalınan fonlar daha sonra gelirleri aklamak için Çince para hareketi ve garanti hizmetlerinin yanı sıra zincirler arası köprüler, karıştırıcılar ve Huione gibi özel pazar yerleri aracılığıyla yönlendiriliyor. Dahası, çalınan varlıklar, saldırıların ardından yaklaşık 45 gün boyunca ortaya çıkan yapılandırılmış, çok dalgalı bir para aklama yolunu izliyor.
- 1. Dalga: Anında Katmanlama (0-5. Günler)DeFi protokolleri ve karıştırma hizmetleri kullanılarak fonların hırsızlık kaynağından anında uzaklaştırılmasını içerir
- 2. Dalga: İlk Entegrasyon (6-10. Günler)fonların kripto para birimi borsalarına, ikinci kademe karıştırma hizmetlerine ve XMRt gibi zincirler arası köprülere kaydırılmasını içerir
- 3. Dalga: Nihai Entegrasyon (20-45. Günler)Fiat para birimine veya diğer varlıklara nihai dönüşümü kolaylaştıran hizmetlerin kullanılmasını içeren
Şirket, “Çince dilindeki profesyonel kara para aklama hizmetlerini ve tezgah üstü (OTC) tüccarları yoğun bir şekilde kullanmaları, Kuzey Kore tehdit aktörlerinin Asya-Pasifik bölgesindeki yasadışı aktörlerle sıkı bir şekilde entegre olduğunu ve Pyongyang’ın uluslararası finans sistemine erişim kazanmak için Çin merkezli ağları tarihsel olarak kullanması ile tutarlı olduğunu gösteriyor.” dedi.
Açıklama, 40 yaşındaki Maryland’li Minh Phuong Ngoc Vong’un, ABD Adalet Bakanlığı’na (DoJ) göre Çin’in Shenyang kentinde bulunan Kuzey Kore vatandaşlarının çeşitli ABD devlet kurumlarında iş bulmak için kimliğini kullanmasına izin vererek BT işçileri planındaki rolü nedeniyle 15 ay hapis cezasına çarptırılmasının ardından geldi.
2021 ile 2024 yılları arasında Vong, Federal Havacılık İdaresi (FAA) ile sözleşme yapmak da dahil olmak üzere en az 13 farklı ABD şirketinde iş bulmak için sahte beyanlarda bulundu. Vong’a yurtdışındaki komplocular tarafından yürütülen yazılım geliştirme hizmetleri karşılığında toplamda 970.000 dolardan fazla maaş ödendi.
DoJ, “Vong, aralarında Çin’in Shenyang kentinde yaşayan yabancı uyruklu John Doe, diğer adıyla William James’in de bulunduğu diğer kişilerle, ABD şirketlerini Vong’u uzaktan yazılım geliştiricisi olarak işe alma konusunda kandırmak için komplo kurdu” dedi. “Vong, eğitimi, öğrenimi ve deneyimi hakkında maddi olarak yanlış beyanlarda bulunarak bu işleri güvence altına aldıktan sonra, Doe ve diğerlerinin, uzaktan yazılım geliştirme işini gerçekleştirmek ve bu iş için ödeme almak üzere bilgisayar erişim bilgilerini kullanmasına izin verdi.”
BT çalışanı planı, Kuzey Kore bağlantılı aktörlerin, operasyonları daha da ölçeklendirmek için Upwork ve Freelancer gibi platformlar aracılığıyla işbirlikçileri işe almak üzere giderek daha fazla işe alım uzmanı olarak hareket etmesiyle stratejide bir değişim geçiriyor gibi görünüyor.
Security Alliance geçen ay yayınlanan bir raporda, “Bu işe alım görevlileri, hedeflere yazılı bir sunumla yaklaşıyor ve ‘işbirlikçilerden’ projelere teklif vermelerine ve teslim etmelerine yardımcı olmalarını talep ediyor. Hesap kaydı, kimlik doğrulama ve kimlik bilgileri paylaşımı için adım adım talimatlar sağlıyorlar.” dedi.
“Birçok durumda, kurbanlar sonuçta serbest çalışan hesaplarına tam erişim izni veriyor veya AnyDesk veya Chrome Uzaktan Masaüstü gibi uzaktan erişim araçlarını yüklüyor. Bu, tehdit aktörünün kurbanın doğrulanmış kimliği ve IP adresi altında çalışmasına olanak tanıyarak, platform doğrulama kontrollerini atlamalarına ve tespit edilmeden yasa dışı faaliyetler yürütmelerine olanak tanıyor.”