Blockchain alanında araştırmalarıyla bilinen ZachXBT, kripto ödemeleri ve sahte iş başvuruları yoluyla aylık yaklaşık 1 milyon dolar elde eden Kuzey Kore bağlantılı bir IT çalışanları ağını tespit etti. Onchain araştırmacısı, topladığı bilgileri X platformunda detaylı bir dizide paylaştı. İncelenen veriler, 390 hesaba bağlı dahili bir ödeme sunucusundan alınmış durumda.
Ağın yapısı ve tespit edilen faaliyetler
ZachXBT’nin analizine göre, söz konusu ağ kendini farklı kimliklerle gizleyip sahte belgeler kullanarak organize şekilde çalışıyor. Bu yöntemle geçen kasım ayından bu yana toplamda 3,5 milyon doların üzerinde gelir sağlandığı görülüyor. Kullanılan dahili ödeme sistemi, anlık mesajlaşma mantığında kurularak çalışanların kazançlarını bildirmesine ve merkezi hesaptan ödeme talimatı almasına imkân sunuyor.
Elde edilen gelirler genellikle kripto para transferleriyle başka platformlara aktarılıyor ve buradan da Çin’deki banka hesapları veya Payoneer gibi hizmetler aracılığıyla fiat paraya çevriliyor. Tespit edilen ödeme adreslerinin bir kısmı, daha önce Kuzey Koreli IT çalışanlarına ait olduğu belirlenen adreslerle bağlantılı. Ağda tespit edilen Tron cüzdanlarından biri geçen yılın aralık ayında Tether tarafından donduruldu.
Toplanan veri kapsamında, çalışanların kendi konumlarını gizlemek için VPN kullandıkları, başvurularında sahte kimlik bilgileri sundukları ve ekipler arasında dahili yazışmalar yürüttükleri bilgisi de yer alıyor.
Yeni ortaya çıkan vakalar ve küresel ölçekte gelişmeler
Ağ içerisinde bir cihazda yapılan incelemede, bir kripto oyun projesini hedef alma planlarının konuşulduğu da dikkati çekiyor; ancak saldırının hayata geçirilip geçirilmediği netleşmedi. Organizasyonun; Lazarus gibi daha bilinen ve gelişmiş gruplara göre daha basit yöntemlerle ilerlediği görülüyor.
ZachXBT’nin araştırmasına göre, bu ağın gelir profili, daha önceki tahminlerle uyumlu. Benzer yapıların Kuzey Kore adına her ay yedi haneli tutarlara ulaşabilen gelirler elde ettiğini gösteren veriler mevcut.
Son dönemde Stabble isimli Solana tabanlı bir projenin, sisteminde bir Kuzey Koreli eski çalışanın bulunduğunu tespit ederek likidite sağlayıcıların fonlarını çekmelerini istediği gündeme geldi. Drift adlı protokol ise, son dönemde yaşanan 280 milyon dolarlık büyük kaybı, Kuzey Kore bağlantılı aktörlere isnat edilen ve aylarca süren bir sosyal mühendislik faaliyetinin sonucu olarak açıkladı.
Öte yandan Amerikan makamları da yaklaşık 800 milyon dolarlık bir kripto dolandırıcılık faaliyetine aracılık eden bazı kişilere yaptırım uyguladı. Bu adımlar, ülkeye atfedilen siber operasyonların ulaştığı boyutu öne çıkarıyor.
