Siber güvenlik uzmanları, Kuzey Kore bağlantılı olduğu düşünülen Lazarus Group tarafından kullanılan yeni bir zararlı yazılım türünü tespit etti. “RemotePE” adını taşıyan bu dosyasız uzaktan erişim aracı (RAT), bankalar ve kripto para şirketlerini hedef alıyor. 2025 yılının Eylül ayında keşfedilen bu yazılım, tamamen bellekte çalışıyor ve iz bırakmadığı için klasik güvenlik sistemleri tarafından tespit edilmesi oldukça güç hale geliyor.
Lazarus Group’un sosyal mühendislik yöntemleri
Lazarus Group saldırılarına genellikle sosyal mühendislik ile başlıyor. Grup, Telegram üzerinden kendilerini bir yatırım şirketinin çalışanı olarak tanıtıp, sahte Calendly ve Picktime toplantı platformlarıyla görüşme talebinde bulunuyor. İlk buluşmadan sonra zincir şekilde ilerleyen süreçte, zararlı yazılım hedef bilgisayara yükleniyor. Bu “insan faktörünü” ön plana alan yöntem, saldırının başarı şansını artırıyor.
Lazarus Group, sosyal mühendislikten yararlanıp, kurbanları güven ilişkisinin içine çekerek ilk zararlı yazılım yüklemesini kolaylaştırıyor. Sonraki adımlar ise tek hedefli, aşamalı saldırı zinciriyle devam ediyor.
Saldırının ilk adımında DPAPILoader adlı dinamik bağlantı kitaplığı (DLL) devreye giriyor. Bu dosya, Windows’un Veri Koruma Uygulama Programlama Arayüzü (DPAPI) ile disk üzerinde şifreli olarak bulunan ikinci aşama yükünü çözerek hazırlıyor. Ardından RemotePELoader aktarılan bu yazılım parçasını, bir HTTP bağlantısı vasıtasıyla uzaktaki C2 sunucusundan çekip belleğe yüklüyor. Son aşamada ise asıl RemotePE zararlı yazılımı, doğrudan bellekte devreye alınarak dosya sistemine neredeyse hiç temas etmiyor.
Mini sözlük: C2 (Komuta ve Kontrol) sunucusu, saldırganların zararlı yazılımı uzaktan yönetebildiği, talimat ve veri alışverişi yaptığı merkezi bir sunucudur.
Üç kademeli yeni nesil saldırı zinciri
RemotePELoader, tespitten kaçmak için gelişmiş tekniklerden yararlanıyor. Hell’s Gate ve ETW Patching olarak bilinen bu yöntemler, modern koruma araçlarının atlatılmasını sağlıyor. Üç aşamalı zincir sayesinde hem disk işlemleri minimuma indiriliyor hem de saldırının izlerinin takibi neredeyse imkansızlaşıyor. Olayın ortaya çıktığı vakanın ardından, merkeziyetsiz finans (DeFi) alanında faaliyet gösteren bir firmanın altyapısında RemotePE, PondRAT ve ThemeForestRAT olmak üzere üç farklı uzaktan erişim aracının sırayla devreye alındığı tespit edildi.
| Saldırı Aracı | Kullanım Yılı | Tespit Zorluğu | Hedef Alan |
|---|---|---|---|
| RemotePE | 2025-2026 | Çok yüksek | Kripto, Bankacılık |
| PondRAT | 2025 | Yüksek | DeFi, Finans |
| ThemeForestRAT | 2025 | Yüksek | Finans |
Lazarus grubunun 2026 bilançosu ve teknik detaylar
Fox-IT tarafından yapılan analizlerde, RemotePE’nin DPAPI ile anahtar yönetimi, yalnızca bellek içinde çalışabilmesi, ETW patching ve Hell’s Gate teknikleriyle tespit ve analizden neredeyse tamamen korunduğu örneklerle gösterildi. Bu özellikler, klasik tarama yöntemlerinin büyük ölçüde etkisiz kaldığını ortaya koydu. Ayrıca, Lazarus Group’un son iki büyük siber saldırıda toplamda 577 milyon dolarlık kripto parayı ele geçirdiği, bu rakamın 2026 yılının ilk dört ayında küresel çaptaki tüm kripto hırsızlıklarının yüzde 76’sına denk geldiği bildirildi.
TRM Labs’ın yayımladığı 2026 raporuna göre, Kuzey Kore bağlantılı saldırganlar yalnızca iki olayla yılın ilk dört ayında 577 milyon dolar değerinde dijital varlığı ele geçirdi ve bu miktarla Kuzey Kore’nin toplam kripto saldırılarındaki payı son yılların en yüksek seviyesine çıktı.
Kuzey Kore kaynaklı saldırıların 2025’te kripto hack’lerindeki oranı %64 iken, 2026’da %76’ya yükseldi. 2017’den bu yana çalınan toplam miktarın ise 6 milyar dolara ulaştığı, bu gelirin yaptırımlar altındaki silah ve nükleer faaliyetleri finanse etmek için kullanıldığı iddiası öne sürülüyor.
Yapay zekalı saldırılar ve yazılım açıkları
Son zamanlarda dijital para yatırımcıları ve geliştiriciler, ticaret süreçlerini kolaylaştırmak için yapay zekadan yararlanırken, aynı yapay zeka tabanlı teknikler siber saldırganların da eline geçti. Uzmanlar, Ghost adlı içerik yönetim sistemine ait 700’den fazla sitede kritik bir SQL enjeksiyonu nedeniyle toplu veri ihlali yaşandığını ortaya koydu.
Saldırı sonucu, yönetici hesaplarının kullanıcı adları ve şifreleri ele geçirilip, ClickFix gibi dağıtım kanallarında zararlı yazılımın yayılması sağlandı. Hedef alınan kurumlar arasında üniversiteler, AI projeleri, blockchain hizmetleri, yazılım şirketleri ve fintech girişimleri bulunuyor. Kurbanlar, sahte CAPTCHA üzerinden verilen Base64 şifreli kodları çalıştırınca, zararlı yazılım yayan dosyalar farkında olmaksızın indirilmiş oluyor.
Yazılımın eski sürümleri Windows’un “rundll32.exe” aracıyla yüklenirken, yakın zamanda açık kaynak kodlu Electron tabanlı Grape uygulamasının da sisteme kurulduğu gözlemlendi. Kurulumdan sonra, zararlı yazılım her 30 saniyede bir C2 alan adı üzerinden komut almaya devam ediyor.
