Kuzey Koreli Hackerlar Kripto Şirketlerini Hedef Alarak Milyonlarca Dolarlık Dijital Varlık Çalıyor

Google Cloud ve Wiz'deki siber güvenlik araştırmacıları, Kuzey Koreli IT çalışanlarının, sahte kimlikler kullanarak kripto şirketlerine sızdığını ve uzaktan iş dolandırıcılığı yoluyla milyonlarca dolarlık dijital varlık çaldığını açıkladı. UNC4899 olarak bilinen ve aynı zamanda TraderTraitor olarak da anılan Kuzey Koreli tehdit aktörleri, kripto şirketlerini hedef alıyor. Bu grup, Kuzey Kore'nin ana dış istihbarat ajansı olan Keşif Genel Bürosu altında faaliyet gösteriyor. Grup, en az 2020'den beri aktif ve blockchain ve kripto para birimi sektörlerine odaklanıyor. Hedeflerine ulaşmak için gelişmiş sosyal mühendislik taktikleri ve buluta özgü saldırı teknikleri kullanıyorlar.

UNC4899, bulut ortamlarına sızmak için çeşitli yöntemler kullanıyor. Google Cloud, grubun farklı kuruluşlardaki çalışanları nasıl tehlikeye attığına dair iki ayrı olayı tanımladı. Her iki durumda da, hackerlar LinkedIn veya Telegram üzerinden işe alım uzmanı gibi davranarak çalışanlarla iletişime geçti. Temas kurulduktan sonra, kurbanları iş istasyonlarında kötü amaçlı Docker konteynerleri çalıştırmaya ikna ettiler. Bu konteynerler, saldırgan kontrolündeki altyapıya bağlantılar oluşturarak indiricileri ve arka kapıları başlattı. Grup, dahili ağlarda yatay olarak hareket etti, kimlik bilgilerini topladı ve kripto işlemleri için kullanılan altyapıyı belirledi.

Wiz de UNC4899'u analiz etti ve Google ile aynı bulguları yayınladı. Wiz uzmanları, grubun Jade Sleet, Slow Pisces ve TraderTraitor gibi çeşitli takma adlar kullandığını belirtti. UNC4899'un 2020'den beri aktif olduğu, ancak sahte iş tekliflerinin özellikle kripto borsalarındaki çalışanları hedef aldığı 2023'e kadar belirginleşmediği belirtildi. Grubun gerçekleştirdiği en dikkat çekici ihlaller arasında, Japonya'daki DMM Bitcoin'in 305 milyon dolarlık ve 2024 sonundaki Bybit ihlalinin 1,5 milyar dolarlık hacklenmesi yer alıyor.

Siber güvenlik uzmanları, bu saldırılarda bulut altyapısının sürekli bir giriş noktası veya istismar noktası olmaya devam ettiğini belirtiyor. Tahmini finansal hasar farklılık gösterse de, her bir olayda milyonlarca doların çalındığı belirtiliyor. Chainalysis'in 2024 raporuna göre, Kuzey Koreli hackerlar yalnızca o yıl 1,34 milyar dolar değerinde kripto para çaldı. Wiz araştırmacıları, Kuzey Kore bağlantılı tehdit aktörlerinin 2025 ortası itibarıyla 1,6 milyar dolar değerinde dijital varlık çaldığını tahmin ediyor. Bağımsız blockchain araştırmacısı ZachXBT ise, 345 ila 920 arasında Kuzey Koreli operasyonel görevlinin kripto sektöründe işlere sızdığını ve 2025 başından itibaren toplamda 16 milyon doların üzerinde maaş aldığını tahmin ediyor.