Kuzey Kore İle İlgili Siber Tehditler: UNC4899’un Yükselişi
Son yıllarda, siber suçlar ve müşteri verilerini hedef alan saldırılar dünya genelinde önemli bir gündem maddesi haline gelmiştir. Özellikle Kuzey Kore ile bağlantılı saldırı grupları, etkili ve sofistike yöntemlerini kullanarak birçok sektörde ciddi zararlar vermektedir. Bu yazıda, bu gruplardan biri olan UNC4899‘un faaliyetlerine dair detayları inceleyeceğiz.
UNC4899’un Faaliyetleri
UNC4899, özellikle kripto para ve blok zinciri endüstrilerini hedef alan bir siber tehdit aktörü olarak tanımlanmaktadır. Google’ın bulut bölümü tarafından yayınlanan “Cloud Threat Horizons Report for H2 2025” raporuna göre, bu grup, iki farklı organizasyona yönelik saldırılar gerçekleştirmiştir. Saldırganlar, hedef aldıkları çalışanlarla LinkedIn ve Telegram üzerinden iletişime geçerek, sahte yazılım geliştirme fırsatları sunmuşlardır.
Bu tür sosyal mühendislik taktiklerini kullanarak, çalışanları kötü niyetli Docker konteynerları çalıştırmaya ikna etmişlerdir. UNC4899’un, Jade Sleet, PUKCHONG, Slow Pisces ve TraderTraitor gibi isimlerle de tanınan başka faaliyetleri olduğu bilinmektedir. 2020 yılından beri aktif olan bu devlete bağlı aktör, büyük çaplı kripto para hırsızlıklarıyla da adından söz ettirmiştir.
Büyük Kripto Para Çalıntıları
UNC4899’un ismi geçtiğinde akla gelen en büyük hırsızlık olaylarından bazıları şunlardır:
- Axie Infinity: Mart 2022’de 625 milyon dolar çalındı.
- DMM Bitcoin: Mayıs 2024’te 308 milyon dolar.
- Bybit: Şubat 2025’te 1.4 milyar dolar.
Bu olaylar, saldırganların yeteneklerini ve teknolojik düzeyini gözler önüne sermektedir. DTEX tarafından yapılan bir araştırmaya göre, UNC4899, Kuzey Kore’nin İstihbarat Genel Müdürlüğü’nün Üçüncü Bürosu ile bağlantılıdır ve kripto para hırsızlığı konusunda en etkili grup olarak kabul edilmektedir.
İş İmkânları Üzerinden Saldırılar
Saldırılar, iş temalı tuzaklar kullanılarak ya da kötü niyetli npm paketleri yüklenerek gerçekleştirilmiştir. Hedef organizasyonlardaki çalışanlara, cazip bir fırsat sunularak GitHub projelerinde işbirliği yapmaları istenmiştir. Bu süreç sonunda çalışanlar, sorunlu npm kütüphanelerini çalıştırmışlardır.
Wiz, yaptığı bir detaylı araştırmada, UNC4899’un bulut tabanlı saldırılara olan ilgisini vurgulamıştır. Saldırılarda, hedef organizasyonların Google Cloud ve Amazon Web Services (AWS) ortamları hedef alınmış ve burada GLASSCANNON adında bir indirici kullanılarak arka kapılar açılmıştır. Bu arka kapılar, PLOTTWIST ve MAZEWIRE gibi kötü niyetli yazılımları barındırmaktadır.
Saldırı Yöntemleri ve Stratejileri
Google Cloud ortamında gerçekleştirilen bir olayda, saldırganlar çalınan kimlik bilgilerini kullanarak uzaktan bağlantı kurmaya çalışmışlardır. Ancak, çok faktörlü kimlik doğrulama (MFA) nedeniyle bu girişimler başarısız olmuştur. UNC4899 ekibi, diğer bir kullanıcı hesabının yönetim ayrıcalıklarına sahip olduğunu belirleyerek, MFA gereksinimlerini devre dışı bırakmayı başarmıştır.
AWS ortamına yönelik saldırılar da benzer bir strateji izleyerek, uzun süreli erişim anahtarları kullanarak uzaktan bağlantılar kurmuştur. Ancak güvenlik önlemleri nedeniyle bazı kritik işlemleri gerçekleştiremeyerek engellenmişlerdir. Google, kullanıcının oturum çerezlerinin çalındığına dair kanıtlar bulmuştur. Bu çerezler, CloudFront yapılandırmaları ve S3 klasörlerini belirlemek için kullanılmıştır.
Son Gelişmeler ve Gelecek Projeksiyonları
Sonuç olarak, UNC4899’un yaptığı saldırılar sonucu çok sayıda kripto para biriminin çalındığı bildirilmiştir. Son zamanlarda Sonatype, Ocak ve Temmuz 2025 arasında Kuzey Kore’nin Lazarus Grubu ile ilişkilendirilen 234 farklı kötü niyetli npm ve PyPI paketini tespit etmiş ve engellemiştir.
Bu paketler, popüler geliştirici araçlarını taklit ederken aynı zamanda gizlilik ihlalleri ve sürekli arka kapılar açma amacıyla tasarlanmıştır. 2025’in ilk yarısında yaşanan bu artış, Lazarus’un stratejik bir değişim geçirdiğini ve açık kaynak paket kayıtlarına doğrudan kötü niyetli yazılımlar yerleştirerek saldırılarını artırdığını göstermektedir.
Kuzey Kore’nin siber savaş stratejisi, gelecek dönemde daha da karmaşık hale gelebilir. Güvenlik uzmanları, bu tür tehditlere karşı daha etkili önlemler almayı hedeflemektedir. Bunun yanı sıra, çalışanların bilinçlendirilmesi de büyük önem taşımaktadır.
