Kuzey Kore’nin Siber İstihbarat Tehdidi
Günümüzde siber güvenlik tehditleri, devletler arası ilişkilerde önemli bir rol oynamaktadır. Son dönemde Kuzey Kore ile ilgili ortaya çıkan siber istihbarat faaliyetleri, özellikle güneydeki diplomatik misyonları hedef alarak dikkat çekmektedir. 2025 yılının Mart ile Temmuz ayları arasında gerçekleştirilen bir kampanya, bu tehditlerin ne denli ciddiye alınması gerektiğini kanıtlar niteliktedir.
Koordineli Siber İstihbarat Faaliyetleri
Trellix araştırmacıları, Kuzey Koreli saldırganların, güvenilir diplomatik kontakları taklit eden en az 19 hedefli oltalama (spear-phishing) e-postası gönderdiğini belirtmektedir. Bu e-postaların amacı, büyükelçilik personelini ve dışişleri bakanlığı çalışanlarını, içlerinde zararlı yazılım bulunan sahte davet e-mailleriyle kandırmaktır. E-postalar, gerçek diplomat veya yetkililere benzer şekilde düzenlenmiştir, bu da onların açılma olasılığını artırmaktadır.
GitHub’ın Kötüye Kullanımı
Saldırganlar, genellikle geliştirici platformu olarak bilinen GitHub’ı gizli bir komut ve kontrol kanalı olarak kullanmışlardır. Bu durum, Kuzey Koreli Kimsuky adlı bilgisayar korsanlığı grubunun, GitHub’ı Xeno RAT adlı açık kaynaklı bir uzaktan erişim Truva atı için bir aşama olarak kullandığına dair yeni kanıtları beraberinde getirmiştir. Ayrıca, saldırıların başlangıcında kullanılan güvenilir bulut depolama çözümleri, Dropbox ve Güney Koreli Kakao Corporation’un Daum Cloud hizmetidir.
Açık Hedefler: Diplomatik Misyonlar
Kuzey Koreli siber tehdit aktörleri, diplomatik misyonları hedef alarak, uluslararası ilişkiler üzerinde önemli etkiler yaratmaya çalışmaktadır. Trellix’in yıllık değerlendirmelerine göre, oltalama içerikleri, gerçek diplomatik yazışmalara benzemekte; birçok e-posta resmi imza, diplomatik terimler ve gerçek olaylarla referansları içermektedir. Diplomatları taklit eden bu sahte mesajlar, alıcıları şifreli dosyaları açmaya teşvik etmeyi amaçlamaktadır.
Malware Tespiti ve Kullanım Detayları
Zararlı yazılımlar, ZIP arşivinin içinde Windows kısayolu olarak gizlenmiş bir PDF belgesi gibi gözükmektedir. Bu dosyayı açan kullanıcılar, PowerShell kodu çalıştırarak, daha sonra zararlı yazılımı yüklemektedir. Bu işlem, GitHub’dan sonraki aşama kötü amaçlı yazılımların indirilmesini sağlamaktadır. Ayrıca, saldırganlar, sistem bilgilerinin ele geçirilmesi amacıyla da çalışmaktadır.
Kötü amaçlı yazılımın çalıştığı bir başka ilginç detay ise, aldatma amacıyla gösterilen sahte dökümanların yanında, siber aktörlerin kontrolündeki özel GitHub depolarında bilgi sızdırmalarıdır. Trellix tarafından yapılan açıklamada, onf.txt dosyası vasıtasıyla zararlı yazılımların teslimatının düzenlenebildiği aktarılmıştır.
Gizlilik ve Saldırı Yöntemleri
Saldırganların faaliyetlerinin büyük bir kısmının Çin saat diliminden kaynaklandığı gözlemlenmiştir. Ayrıca, Kuzey Kore veya Güney Kore tatillerinin dışında, özellikle erken Nisan 2025’te, önemli bir “3 günlük duraklama” gözlemlenmiştir. Bu durum, saldırıların Çin’in operasyonel takvimine benzerlik gösterdiğini, ancak Kuzey Kore’nin stratejik hedefleri doğrultusunda gerçekleştirildiğini düşündürmektedir.
Trellix, Kuzey Koreli operatörlerin sıklıkla Çin ve Rusya’da bulunduğunu belirtmiştir. Bu durum, aynı zamanda Kimsuky grubunun sıklıkla Çin IP’leri üzerinden Güney Kore’yi hedef aldığı gerçeğini ortaya koymaktadır.
IT Çalışanlarının İstismarı
CrowdStrike, Kuzey Koreli bireylerin uzaktan IT çalışanı olarak birçok şirkete sızdığını duyurmuştur. Son 12 ayda 320’nin üzerinde olay tespit edilmiştir ki bu, bir önceki yıla göre %220’lik bir artış göstermektedir. Bu faaliyetlerin, Famous Chollima ve Jasper Sleet olarak adlandırılan iki ayrı operasyon üzerinden yürütüldüğü ifade edilmektedir.
Bu tür operasyonların önemli bir boyutunu oluşturan, kişilerin dizüstü bilgisayar çiftlikleri işletmeleri, yani, Kuzey Koreli çalışanların uzaktan iş yapmalarını sağlamak amacıyla kurulan sistemlerdir. GenAI teknolojileri, iş ilanları oluşturmak, video görüşmelerde kimlik gizleyerek sızmak ve diğer kaynaklarla entegre çalışmak amacıyla kullanılmaktadır.
Özetle, Kuzey Koreli siber tehditler, uluslararası güvenlik açısından dikkate alınması gereken bir konu olmaya devam etmektedir. Diplomatik hedeflerin sürekli istismar edilmesi, bu tehditlerin sadece teknik değil, aynı zamanda stratejik boyutlarının da olduğunu göstermektedir.
