Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç, sosyal mühendislik
ESET: Lazarus Group, daha yeni Pyongyang Tehdit Oyuncusu ile Backdoor’u paylaşıyor
Pooja Tikekar (@Poojatikar) •
26 Eylül 2025
Güvenlik araştırmacıları, sahte IT iş işe alım dolandırıcılığının arkasındaki bir Kuzey Koreli bilgisayar korsanlarının çetesi, Lazarus Grubu olarak toplu olarak izlenen teknik olarak daha gelişmiş meslektaşlarının tercih ettiği bir uzaktan erişim Truva atına erişebiliyor.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Siber güvenlik firması ESET, işe alım görevlileri olarak poz verdiği ve hileli iş tekliflerini “aldatıcı geliştirme” olarak kullandığı bilinen bir Pyongyang tehdit oyuncusu izler. Lazarus bağlantılı aktivitenin “Operasyon Dream Job” olarak izlenmesi gibi, tehdit oyuncusu da sosyal mühendis geliştiricilere kötü amaçlı yazılım indirmeleri için işe alım profilleri yayınlıyor, ancak ESET iki grubun ayrı olduğunu söylüyor.
Siber savunucular ilk olarak 2023’te aldatma faaliyetlerini tespit ettiler. Kuzey Koreliler işe alım görevlileri ve aynı zamanda işçiler olarak poz veriyorlar, Batı iş arayanlar ve işverenler için devam eden bir sorun oldu. Haziran ayında ABD Adalet Bakanlığı, 16 eyalette Kuzey Kore uzak BT işçisi dolandırıcılığına karşı iki iddianame, tutuklama, 29 dizüstü bilgisayar çiftliğinin arama, 29 finansal hesap ve 21 web sitesinin ele geçirilmesi de dahil olmak üzere koordineli eylemleri duyurdu (bakınız: bkz: bkz: bkz: ABD, işçiler olarak poz veren Kuzey Korelilere baskı duyurdu).
Alınan Geliştirme Kampanyası, Windows, MacOS ve Linux işletim sistemlerini hedefler ve kurbanları bir ClickFix hilesinde aşamalı “görüşmeler” sırasında terminal komutlarını kopyalamaya zorlar. ESET telemetri, ClickFix saldırılarının bu yılın ilk yarısında% 500’den fazla arttığını gösteriyor.
Alınan geliştirme operatörleri, LinkedIn ve serbest pazar yerlerinde işe alım görevlileri ve çoban adaylarını kod testleri veya kaygan görüşme siteleri için poz verir. Uzun formları doldurduktan sonra, başvuru sahiplerine kısa bir video kaydetmeleri söylenir. Saldırgan kontrollü site, “nasıl düzeltilir” bağlantısı sunan sahte bir kamera ve mikrofon hatası atar. Talimatlar işletim sistemine göre değişir, ancak aynı sonuca yol açar: birinci aşama yükü indiren ve yürüten bir terminal komutu. Bir kez, aldatılmış geliştirme genellikle tarayıcı kimlik bilgilerini ve kripto cüzdan verilerini çalmak ve stealer, yük yükü, pli panosu ve uzak erişim bileşenleri ile modüler bir piton arka kapısı olarak adlandırılan ikinci aşama almak için Beaverail, bazen JavaScript evrimi Ottercookie’yi düşürür.
Araştırmacılar, “Tropidoor” olarak adlandırdıkları ikinci aşamalı bir yükteki kodun, daha önce Lazarus Grubuna bağlı bir arka kapı olan “Postnaptea” ile örtüştüğünü söyledi.
ESET, “Tropidoor, muhtemelen Lazarus şemsiyesi altındaki teknik olarak daha gelişmiş tehdit aktörleri tarafından geliştirilen kötü amaçlı yazılımlara dayandığı için, aldatılmış geliştirme grubuna bağlı en sofistike yüktür.”
Araştırmacılar ayrıca bir arşiv içinde “Akdoortea” olarak adlandırdıkları yeni bir Windows uzaktan erişim yükü gözlemlediler nvidiaRelease.zip bu bir senaryo tarafından getirildi ClickFix-1.batmeşru NVIDIA bileşenlerini truva atlı bir node.js yükleyicisi, gizlenmiş bir beaverail betiği ve yeni komut ve kontrol altyapısı ile karıştırma.
Alınan Geliştirme Bilgisayar korsanları, kurbanlardan çaldıkları bilgileri ESET’in “Wagemole” olarak adlandırdığı ilgili bir tehdit oyuncusuna teslim ediyor gibi görünüyor. Bu gruptaki bilgisayar korsanları iş arayanlar olarak poz veriyor.