Kuzey Kore Bağlantılı Lazarus Grubu 2025’te 2 Milyar Dolarlık Kripto Hırsızlığıyla Öne Çıktı

Anasayfa » Kuzey Kore Bağlantılı Lazarus Grubu 2025’te 2 Milyar Dolarlık Kripto Hırsızlığıyla Öne Çıktı
APT, Kripto Güvenliği, Sosyal Mühendislik
Aralık 20, 2025Aralık 20, 2025Tarafından Cybernews.TR
0
Kuzey Kore Bağlantılı Lazarus Grubu 2025’te 2 Milyar Dolarlık Kripto Hırsızlığıyla Öne Çıktı

2025 yılında Kuzey Kore bağlantılı Lazarus Grubu, kripto para hırsızlıklarında 2,02 milyar dolarlık bir rakama ulaşarak küresel çapta öne çıktı. Chainalysis tarafından analiz edilen verilere göre, bu miktar 2024 yılındaki 1,3 milyar dolarlık çalınan fonun %51 üzerinde gerçekleşti. Lazarus Grubu’nun saldırıları, tüm hizmet ihlallerinin %76’sını oluşturdu ve böylece rekor bir seviyeye ulaştı.

Saldırının Genel Çerçevesi

Bybit kripto para borsasına yönelik Şubat 2025 saldırısı, toplamda 1,5 milyar dolarlık kayba neden oldu ve TraderTraitor (Jade Sleet / Slow Pisces) adlı tehdit aktörüne atfedildi. Bu saldırıda Lumma Stealer zararlısı kullanılarak enfekte edilen makineler, “trevorgreer9312@gmail[.]com” e-posta adresiyle ilişkilendirilen altyapı üzerinden kontrol edildi. Lazarus Grubu, ayrıca Güney Kore’nin en büyük borsalarından Upbit’ten 36 milyon dolarlık kripto çalınmasında da rol oynadı.

Lazarus Grubu, Pyongyang’ın Keşif Genel Bürosu (RGB) ile bağlantılı olup, 2020-2023 arasında 25’ten fazla kripto soygunundan yaklaşık 200 milyon dolar elde etti. Grup, BURNBOOK, MISTPEN ve Linux sürümü bulunan BADCALL gibi zararlılarla birlikte “Operation Dream Job” adlı sosyal mühendislik kampanyasını yürütüyor. Bu kampanya, LinkedIn ve WhatsApp üzerinden savunma, üretim, kimya, havacılık ve teknoloji sektörlerindeki adaylara sahte iş teklifleri sunarak zararlı yazılım bulaştırmayı hedefliyor.

Saldırı Zinciri ve Teknik Detaylar

Kuzey Koreli aktörlerin ikinci önemli yöntemi ise dünya genelindeki şirketlerde BT çalışanlarını sahte bahanelerle işe yerleştirerek kripto hizmetlerine ayrıcalıklı erişim sağlamaktır. Bu taktik, DredSoftLabs ve Metamint Studio gibi ön şirketler aracılığıyla yürütülmekte ve “Wagemole” operasyon adıyla anılmaktadır. Bu yöntem, büyük çaplı ihlallerde ilk erişim ve yatay hareket kabiliyetini artırmaktadır.

Çalınan fonlar, Çin dilinde para transferi ve garanti hizmetleri, zincirler arası köprüler, karıştırıcılar ve Huione gibi özel pazarlar üzerinden karmaşık bir aklama sürecine tabi tutulmaktadır. Yaklaşık 45 gün süren bu süreç üç dalgadan oluşur:

  • Dalga 1 (0-5 gün): Fonların çalındığı kaynaktan hızlıca uzaklaştırılması için DeFi protokolleri ve karıştırma hizmetleri kullanılır.
  • Dalga 2 (6-10 gün): Fonlar kripto borsalarına, ikinci seviye karıştırıcılara ve XMRt gibi zincirler arası köprülere aktarılır.
  • Dalga 3 (20-45 gün): Fonların fiat para veya diğer varlıklara dönüştürülmesini sağlayan hizmetler devreye girer.

Bu süreçte profesyonel Çin dilinde para aklama hizmetleri ve OTC tüccarları yoğun şekilde kullanılarak, DPRK tehdit aktörlerinin Asya-Pasifik bölgesindeki yasa dışı aktörlerle sıkı entegrasyonu sağlanmaktadır.

BT Çalışanı Yerleştirme ve Sosyal Mühendislik

ABD Adalet Bakanlığı’nın raporuna göre, Kuzey Koreli vatandaşların Çin’in Shenyang kentindeki kimliklerini kullanarak ABD kurumlarında iş bulmalarına aracılık eden Minh Phuong Ngoc Vong, 15 ay hapis cezasına çarptırıldı. Vong, 2021-2024 arasında en az 13 ABD şirketinde eğitim ve deneyim hakkında yanlış beyanlarda bulunarak istihdam sağladı ve 970.000 dolardan fazla maaş aldı. Bu durum, Lazarus Grubu’nun BT çalışanı yerleştirme stratejisinin bir parçası olarak değerlendiriliyor.

Son raporlar, Lazarus Grubu’nun Upwork ve Freelancer gibi platformlar üzerinden işbirlikçileri işe alarak operasyonlarını ölçeklendirdiğini gösteriyor. Bu işe alımcılar, hedeflere senaryolu teklifler sunuyor, hesap kaydı ve kimlik doğrulama süreçlerinde rehberlik sağlıyor. Kurbanlar, uzaktan erişim araçları (AnyDesk, Chrome Remote Desktop) yükleyerek tehdit aktörlerine tam erişim imkanı tanıyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • Çalışanların e-posta güvenliği farkındalığını artırarak sosyal mühendislik saldırılarına karşı eğitim verin.
  • BT çalışanlarının erişim haklarını düzenli olarak gözden geçirip, ayrıcalıklı erişim yönetimini (IAM) uygulayın.
  • EDR ve SIEM çözümleriyle şüpheli aktiviteleri gerçek zamanlı izleyin ve anomali tespiti yapın.
  • Uzaktan erişim araçlarının kullanımını sınırlandırın ve MFA zorunlu kılın.
  • Ağ segmentasyonu ile kritik sistemlere erişimi kısıtlayarak yatay hareketi engelleyin.
  • Kripto para işlemlerinde zincirler arası köprü ve karıştırıcı kullanımını izleyin ve anormal transferleri raporlayın.
  • Olay müdahale (incident response) planlarını güncel tutarak hızlı aksiyon alın.
  • Personel işe alım süreçlerinde doğrulama ve geçmiş kontrollerini sıkılaştırın.

Teknik Özet

  • Kullanılan zararlılar: Lumma Stealer, BURNBOOK, MISTPEN, BADCALL
  • Hedef sektörler: Kripto borsaları, finans, teknoloji, havacılık, kimya
  • Saldırı zinciri: Sosyal mühendislik → Zararlı yazılım bulaşması → BT çalışanı yerleştirme → Uzaktan erişim → Kripto fonlarının çalınması ve aklanması
  • Aklama yöntemleri: DeFi protokolleri, zincirler arası köprüler, OTC tüccarlar, çok katmanlı karıştırıcılar
  • Önerilen savunma: Çok faktörlü kimlik doğrulama (MFA), EDR ve SIEM entegrasyonu, ağ segmentasyonu, düzenli yama yönetimi

Kuzey Kore bağlantılı Lazarus Grubu’nun kripto para hırsızlıklarında kullandığı gelişmiş teknikler, e-posta güvenliği, bulut güvenliği ve ağ segmentasyonu gibi alanlarda güçlü önlemler alınmasını zorunlu kılıyor. Bu kapsamda, olay müdahale süreçlerinin etkin yönetimi ve kimlik doğrulama mekanizmalarının güçlendirilmesi kritik önem taşıyor.

, , , , , , ,