Siber savaş / ulus-devlet saldırıları, dolandırıcılık yönetimi ve siber suç, Geo Focus: Asya
Rapor North Kore Hacking Grubu Geleneksel Oyun Kitabına Fidye Yazılımı Ekliyor
Chris Riotta (@Chrisriotta) •
14 Ağustos 2025
Güney Koreli güvenlik araştırmacıları, Güney Kore ve bölgedeki fidye yazılımları ile organizasyonları aktif olarak enfekte eden kötü şöhretli Kuzey Kore “Scarcruft” tehdit aktörünün bir alt grubu tarafından yaygın bir siber saldırı kampanyası ortaya çıkardılar.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
“Chinopunk” olarak adlandırılan alt grup, kampanyayı Temmuz ayında tuş vuruşlarını kaydetmek, mikrofon kayıtlarını yakalamak ve çıkarılabilir cihazlardan veri çıkarmak için tasarlanmış kimlik avı e -postaları ve kötü amaçlı yazılımlar kullanarak başlattı. Saldırı, S2W’nin Tehdit İstihbarat Merkezi’ne göre, bir otomatik yükleyiciyi tetikleyen ve harici bir sunucudan ek bir kötü amaçlı yazılım ve bir arka kapı dahil olmak üzere ek kötü amaçlı yazılımlarda çekilen sıkıştırılmış bir RAR arşivi içinde gizlenmiş kötü niyetli bir kısayol dosyası kullandı.
Güney Kore veri analizi ve yapay zeka şirketindeki araştırmacılar, bir Ağustos raporunda, kampanyanın “Scarcruft’un operasyonel yeteneklerinde net bir ilerleme gösterdiğini”, fidye yazılımı ve arka kapı istismarının kullanımının özellikle dikkate değer olduğunu, çünkü bu tekniklerin tarihsel faaliyetlerinde nadiren gözlemlendiğinden “dedi. İlk olarak 2016 yılında tanımlanan Kuzey Kore hackleme grubu, esas olarak defektörleri, Pyongyang’ı kapsayan gazetecileri ve Seul’deki devlet kuruluşlarını hedef aldı.
Grup başlangıçta Güney Koreli kurbanları hedef alırken, araştırmacılar operasyonlarının o zamandan beri Japonya, Vietnam, Rusya, Nepal ve Orta Doğu’daki birkaçı dahil olmak üzere diğer ülkelere genişlediğini söyledi. Fidye yazılımı kullanımı, geleneksel sibersizliğe odaklanmasından finansal olarak motive olmuş saldırılara veya şimdi yıkıcı veya gasp tabanlı taktikleri içeren genişletilmiş bir göreve işaret ediyor.
Araştırmacılar, kuruluşlara olası ihlaller için URL’leri, dosya karmalarını ve diğer göstergeleri rutin olarak incelemelerini ve tehdit grubunun taktiklerini, tekniklerini ve prosedürlerini yansıtan davranış tabanlı kurallar kullanarak algılama sistemlerini geliştirmelerini önermektedir.
Araştırmacılar ayrıca, Scarcruft’un geçmiş etkinliğine bağlı altyapı eğilimlerini, kod dili seçeneklerini ve davranışsal belirteçleri analiz ederek ilgili kampanyalar için sürekli gözetim önermektedir.
Kuzey Kore devlet destekli bilgisayar korsanları, son yıllarda siber yeteneklerini istikrarlı bir şekilde ilerletti, bu da gücü projelendirme ve Hermit Kingdom’un askeri ve silah programlarını finanse etmek için çok çeşitli casusluk ve finansal olarak motive olmuş saldırılar gerçekleştirdi. Pyongyang’ın hackleme grupları da Covid-19 pandemiden bu yana daha çevik hale geldi ve saldırıları yürütmek için geçici görev güçleri oluşturdu-Çin ve diğer ulus devlet grupları tarafından daha sofistike operasyonları yansıtan bir taktik (bkz:: Araştırmacılar: Kuzey Koreli bilgisayar korsanları hız kazanıyor, esneklik).