İsim her şeyi söylüyordu: DroneEXEHijackingLoader.dll.
Üç Avrupalı savunma yüklenicisine gönderilen kötü amaçlı kodların arasında gömülü olan bu dahili dosya adı, Pyongyang İHA cephaneliğini modernleştirmeye çalışırken, güvenlik araştırmacılarının Kuzey Kore’nin drone teknolojisini çalmayı amaçlayan en son casusluk kampanyasını temsil ettiğine inandıkları şeyi ortaya çıkardı.
ESET Research’e göre, kötü şöhretli Lazarus APT grubuna atfedilen saldırılar, Mart ve Ağustos 2025 arasında insansız hava aracı bileşenleri ve yazılımı üreten şirketleri hedef aldı.
Zamanlama önemli. Kuzey Kore askerleri bu dönemde Moskova’nın Kursk’taki savaş çabalarını desteklemek için Rusya’ya konuşlandırıldı ve Pyongyang ordusunu ilk elden modern insansız hava aracı savaşına maruz bıraktı. İstihbarat analistleri, bu savaş deneyiminin muhtemelen Kuzey Kore’nin yerli İHA üretim yeteneklerini hızlandırma kararlılığını güçlendirdiğini değerlendiriyor.
Lazarus, izinsiz girişleri, havacılık ve savunma sektörü çalışanlarına yönelik sahte iş tekliflerini boşa çıkaran uzun süredir devam eden bir sosyal mühendislik kampanyası olan DreamJob Operasyonu aracılığıyla gerçekleştirdi. Hedefler, sahte iş tanımlarının yanı sıra truva atı haline getirilmiş PDF okuyucuları da aldı ve meşru işe alım materyalleri olarak gizlenen kötü amaçlı yazılımlar dağıttı.
Ayrıca okuyun: Dream Job Operasyonu Devam Ediyor, Truva Atılaştırılmış PuTTY SSH İstemcisi Kullanıyor
Saldırganlar, Güneydoğu Avrupa’daki bir metal mühendislik firmasını, Orta Avrupa’daki bir uçak bileşeni üreticisini ve yine Orta Avrupa’daki bir savunma şirketini ele geçirdi. En az iki kurban İHA teknolojisinin geliştirilmesine doğrudan dahil olmaya devam ediyor; bunlardan biri şu anda Ukrayna’da konuşlandırılmış kritik drone bileşenlerini üretiyor.
Teknik Gelişim Etkinliği Korur
Kampanya, saldırganlara tam sistem kontrolü sağlayan ve üç yıl boyunca Lazarus’un tercih ettiği yük olarak hizmet veren bir uzaktan erişim truva atı olan ScoringMathTea’yı kullandı. Bu RAT, dosya manipülasyonunu, süreç yönetimini, sistem keşfini ve şifreli kanallar üzerinden veri sızmasını sağlayan yaklaşık 40 komutu destekler.
Lazarus, kötü amaçlı kodunu, TightVNC Viewer, MuPDF okuyucu, DirectX Wrappers ve Notepad++ ile WinMerge eklentileri dahil olmak üzere GitHub’dan alınan truva atı haline getirilmiş açık kaynaklı projelere yerleştirdi. Bu teknik, operasyonel tutarlılığı korurken imza tabanlı tespitten kaçınmak için yeterli çeşitlilik sağlar.
Grup, meşru yürütülebilir dosyaların beklenmedik sistem konumlarına yerleştirilen kötü amaçlı dinamik bağlantı kitaplıklarını yüklediği bir teknik olan DLL yandan yüklemeden yararlandı. Kötü amaçlı yazılım, gizleme için AES-128 veya ChaCha20 algoritmalarını kullanarak diskte hiçbir zaman şifrelenmemiş olarak görünmez.
Siber Casusluk Yoluyla Tersine Mühendislik
Kuzey Kore’nin mevcut amiral gemisi keşif uçağı Saetbyol-4, Northrop Grumman’ın RQ-4 Global Hawk’ıyla neredeyse aynı görünüyor. Çok amaçlı savaş uçağı Saetbyol-9, General Atomics’in MQ-9 Reaper’ının tasarımını kopyalıyor. Sayısal isimler bile Amerikalı meslektaşlarını yansıtıyor.
Bu kopyalama görsel taklidin ötesine uzanır. Özellikle İHA teknolojisi de dahil olmak üzere havacılık şirketlerini etkileyen çok sayıda kampanya, son yıllarda Kuzey Koreli APT gruplarına atfedildi. ABD yetkilileri, Lazarus’la bağlantılı birçok grubu resmi olarak Kuzey Kore istihbarat servisleriyle ilişkilendirdi.
Rusya’nın artık Kuzey Kore’ye İran yapımı Shahed intihar insansız hava araçlarının taklit versiyonlarını üretme konusunda yardım ettiği bildiriliyor. Pyongyang ayrıca potansiyel olarak Afrika ve Orta Doğu ihracat pazarlarına yönelik düşük maliyetli saldırı İHA’ları da geliştiriyor. Kuzey Kore uçak fabrikalarının yakınındaki son inşaat faaliyetleri, kitlesel İHA üretimine hazırlık yapıldığını gösteriyor.
Halkın Maruz Kalmasına Rağmen Kalıcı Yöntemler
DreamJob Operasyonu taktiklerinin medyada yaygın olarak yer almasına rağmen, hassas sektörlerdeki çalışanların farkındalığı bu sosyal mühendislik yaklaşımlarına karşı koymakta yetersiz kalıyor. Kampanyanın başarı oranı, güvenlik eğitim programlarının personeli karmaşık işe alım temalı saldırılara yeterince hazırlamakta başarısız olduğunu gösteriyor.
Ayrıca okuyun: LinkedIn İş Dolandırıcılıkları En Son Siber Tehdittir – Sahte İşverenlere Kanmayın
ESET araştırmacıları, ScoringMathTea’yi Ocak 2023’ten bu yana Hindistan, Polonya, Birleşik Krallık ve İtalya’daki şirketlere yönelik önceki saldırılarda tespit etti. RAT, ilk olarak Ekim 2022’de Portekiz ve Almanya’dan gelen VirusTotal başvurularında Airbus temalı iş teklifleri kılığında göründü.
Komuta ve kontrol altyapısı, genellikle şablon veya eklenti dizinlerinde depolanan kötü amaçlı sunucu tarafı kodlarıyla, güvenliği ihlal edilmiş WordPress kurulumlarına dayanır. Saldırganlar, birden fazla ülkedeki çeşitli barındırma sağlayıcıları aracılığıyla dönüşümlü olarak çalışıyor.
Güvenlik araştırmacıları, sosyal mühendislik teknikleri, GitHub projesi truva atı oluşturma yöntemleri, ScoringMathTea dağıtımı ve önceki DreamJob Operasyonu kampanyalarıyla tutarlı hedefleme modellerine dayanan bu etkinliği büyük bir güvenle Lazarus’a atfediyor. İHA geliştirmede aktif olan kuruluşlar, Kuzey Kore’nin siber destekli endüstriyel casusluk yoluyla yerli drone yeteneklerini takip etmesi nedeniyle hedeflemenin devam edeceğini öngörmelidir.