Kuzey Kore devleti destekli bir tehdit aktörüne, genellikle başkalarına karşı kullanılan aynı türden kötü amaçlı yazılım bulaştı; bu, operasyonlarına ilişkin nadir bilgileri açığa çıkardı ve tarihteki en büyük kripto para birimi hırsızlıklarından biriyle doğrudan bağlantıları ortaya çıkardı. Bir kereliğine durum değişti.
Enfeksiyon, bir siber suç istihbarat firması olan Hudson Rock tarafından LummaC2 bilgi hırsızlığı günlüğünün analizi sırasında tespit edildi. Rutin bir enfeksiyon gibi görünen şeyin aslında hiç de farklı olmadığı ortaya çıktı. Güvenliği ihlal edilen makine, Kuzey Kore’nin devlet bağlantılı siber aygıtı içinde faaliyet gösteren bir kötü amaçlı yazılım geliştiricisine aitti.
1,4 Milyar Dolarlık Bybit Kripto Borsası İhlalinin Bağlantıları
Hudson Rock, verileri tehdit istihbarat şirketi Silent Push’un önceki bulgularıyla eşleştirdi. Her iki araştırma da aynı şeye işaret ediyordu; virüs bulaşan makine, 1,4 milyar dolarlık Bybit kripto soygununu destekleyen kurulumda kullanılmıştı.
Şubat 2025’te kripto borsasını hedef alan Bybit veri ihlalinin, uzun süredir Lazarus Grubu ile bağlantılı olduğuna inanılan Kuzey Koreli tehdit aktörleriyle bağlantılı olduğunu belirtmekte fayda var.
Şirketin Hackread.com ile paylaştığı Hudson Rock raporuna göre, en önemli ayrıntılardan biri virüslü cihazda bulunan kimlik bilgilerinden geldi. Bunların arasında bir e-posta adresi de vardı. [email protected]Silent Push’un bulgularında zaten işaretlediği şey.
Kayıt için aynı e-posta kullanıldı bybit-assessment.comBybit hırsızlığından sadece birkaç saat önce bir alan adı ortaya çıktı. Görevi borsayı taklit etmek ve saldırının arkasındaki altyapıyı desteklemekti.
Virüs bulaşan sistemin kullanıcısı soygunun doğrudan sorumlusu olmasa da veriler, devlet destekli bir operasyonun farklı bölümlerinin varlıkları nasıl paylaştığını ortaya koyuyor. Geliştirme donanımları, kimlik avı alanları, kimlik bilgileri kümeleri ve iletişim altyapısının tümü ortak eller üzerinden akıyor. Bu makine de onlardan biri oldu ve genellikle VPN’lerin ve sahte kimliklerin arkasına gizlenmiş ayrıntıları açığa çıkardı.
Güvenliği Ele Geçirilen Cihazın Özellikleri ve Araçları
Adli veriler kendi hikayesini anlatıyor. Virüs bulaşan cihaz, 16 GB RAM’e sahip 12. Nesil Intel Core i7 işlemciyi çalıştıran, Visual Studio Professional 2019 ve Enigma Protector gibi geliştirme araçlarıyla yüklü üst düzey bir kurulumdu.
Enigma, antivirüs tespitini önlemek amacıyla yürütülebilir dosyaları paketlemek için yaygın olarak kullanılır. Bu bodrumda deney yapan biri değildi. Bu, kötü amaçlı yazılım üretmek ve altyapıyı yönetmek için kullanılan iyi donanımlı bir teçhizattı.
Tarayıcı geçmişi ve uygulama verileri daha fazla katman ekledi. Kullanıcı trafiği Astrill VPN kullanarak bir ABD IP’si üzerinden yönlendiriyordu, ancak tarayıcı ayarları varsayılan olarak Basitleştirilmiş Çince’ye ayarlıydı ve çeviri geçmişi doğrudan Kore dili sorgularını içeriyordu.
Slack, Telegram, Dropbox ve BeeBEEP’in de sistemde kurulu olduğu tespit edildi; bunların hepsi hem dahili iletişime hem de potansiyel komuta ve kontrol kullanımına işaret ediyor. Özellikle Dropbox klasör yapıları, çalınan verilerin daha sonra erişim için yüklendiğini öne sürdü.
Astrill VPN ve Sahte Zoom Yükleyicileri
Hackread.com’un siber güvenlik araştırmacısı Mauro Eldritch tarafından yazılan Kasım 2025 tarihli makalesinde, Batılı BT rolleri için iş adayı gibi görünen Kuzey Koreli tehdit aktörlerinin de IP adreslerini gizlemek için Astrill VPN kullandıklarının bildirildiğini belirtmek önemlidir.
Sistem ayrıca kimlik avı hazırlıklarını da ortaya çıkardı. Gibi alanlar callapp.us Ve callservice.us gibi alt alan adlarıyla birlikte satın alındı zoom.callapp.ussahte yazılım veya güncelleme indirmeleri için hedefleri kandırmak için kullanılır. Sahte Zoom yükleyicisinin yerel IP adresi de aynı donanıma bağlandı.
Tehdit aktörünün güvenliğinin ihlal edildiğini fark ettiğine dair hiçbir belirti yok. Bunu bu kadar sıradışı kılan da bu. LummaC2 gibi bilgi hırsızları genellikle saldırganlar tarafından sıradan kullanıcıların tarayıcı verilerini, kimlik bilgilerini ve cüzdanlarını ele geçirmek için kullanılıyor.
Bu durumda kötü amaçlı yazılım geri tepti ve tarihteki en koordineli kripto hırsızlıklarından birinin arkasındaki altyapının bir kısmını açığa çıkardı. Güvenlik araştırmacılarına devlet bağlantılı bir tehdit aktörünün operasyonlarını nasıl kurup yürüttüğünü inceleme fırsatı veriyor. Hudson Rock, ele geçirilen makineyi kopyalayan bir simülatör bile geliştirdi; böylece başkalarının yazılımı, tarayıcı etkinliğini ve çalınan verileri kendileri incelemesine olanak tanıdı.
Bilgi hırsızları için bir ilk ama hackerların açığa çıkması için değil
Bu, Kuzey Koreli bir bilgisayar korsanının bir bilgi hırsızı tarafından vurulduğu belgelenen ilk vaka olsa da, bu ülkedeki bir operatörün sistemlerini tehlikeye attığı ilk vaka değil. Ağustos 2025’te bir grup bilgisayar korsanı, Kuzey Koreli bir tehdit aktörü olduğu iddia edilen kişinin bilgisayarından çalınan 9 GB veriyi yayınladı.
Sızıntı, saldırgan siber operasyonlara doğrudan dahil olan birine ait olduğu anlaşılan dahili araçları, günlükleri, hassas belgeleri ve dosyaları açığa çıkardı. Olay, Kuzey Kore’nin siber birimlerinde çalışan bir tehdit aktörünün günlük ortamına alışılmadık ve değerli bir bakış sağladı.
Daha da geriye gidersek, Temmuz 2020’de başka bir nadir ihlal manşetlere taşındı, ancak bu sefer İranlı bilgisayar korsanlarını içeriyordu. IBM’in X-Force’u, İranlı operatörlerin e-posta hesaplarını gerçek zamanlı olarak nasıl ele geçirdiğini gösteren 40 GB’lık bir eğitim videosu buldu.
Videolarda kimlik bilgileri hırsızlığı, hesap ele geçirme ve erişimi sürdürme teknikleri hakkında adım adım açıklamalar gösteriliyordu. Görüntünün tamamının kamuya açıklanıp yayınlanmadığı henüz belli olmasa da, malzemenin varlığı araştırmacılara saldırganların yöntemleri ve şirket içi eğitim kaynakları hakkında alışılmadık derecede yakın bir görüş sağladı.
Ancak bu seviyede hatalar çok sık olmuyor. Bunu yaptıklarında, nadiren uzun süre açık kalan bir pencereyi açarlar.