Siber güvenlik alanında dünya lideri ESET Research, Kuzey Kore ile bağlantılı olduğu düşünülen DeceptiveDevelopment tehdit grubunun ve Kuzey Koreli BT çalışanlarının yürüttüğü sofistike siber suç faaliyetlerini detaylandıran kapsamlı bir rapor yayımladı. Rapora göre, grup özellikle serbest yazılım geliştiricilerini sahte iş teklifleriyle hedef alarak kripto para hırsızlığı yapıyor.

DeceptiveDevelopment'ın Taktikleri ve Hedefleri

En az 2023 yılından beri aktif olan ve Contagious Interview adıyla da bilinen DeceptiveDevelopment, finansal kazanç odaklı çalışıyor. Başlıca hedefleri, kripto para birimi ve Web3 projelerinde çalışan, Windows, Linux ve macOS platformlarındaki yazılım geliştiricileri.

Grup, hedeflerine ulaşmak için şu sofistike sosyal mühendislik tekniklerini kullanıyor:

• Sahte İşe Alım Profilleri: LinkedIn, Upwork, Freelancer.com ve Crypto Jobs List gibi platformlarda işveren gibi davranarak sahte ve kazançlı iş fırsatları sunuluyor.

• Trojanize Kod Tabanları: Sahte iş görüşmesi sürecinin bir parçası olarak, arka kapı içeren zararlı kod tabanları potansiyel kurbanlara gönderiliyor.

• ClickFix Tekniği: Kurbanlar, ayrıntılı başvuru formu doldurdukları sahte bir görüşme sitesine yönlendiriliyor. Son aşamada, kamera hatası gösteren bir site, sorunu düzeltmek için bir komut kopyalamalarını istiyor. Ancak bu komut, sorunu çözmek yerine kötü amaçlı yazılım indirip çalıştırıyor.

Grup, eylemlerinde BeaverTail, OtterCookie ve WeaselStore bilgi hırsızlarını (infostealers) ve modüler RAT (Uzaktan Erişim Aracı) olan InvisibleFerret’i kullanıyor. ESET, bu grubun araç setleri ile Lazarus grubunun operasyonları arasında yeni bağlantılar da keşfetti.

Kuzey Koreli BT Çalışanlarının Rolü

ESET, açık kaynak istihbarat (OSINT) verilerini analiz ederek, sahte istihdam planlarına karışan Kuzey Koreli BT çalışanlarının faaliyetlerine de ışık tuttu.

• Finansman Kaynağı: Bu kampanyanın, en az 2017'den beri devam eden, Kuzey Kore ile bağlantılı çalışanların yurtdışı şirketlerde iş bulmak için koordineli çabası olduğu ve kazanılan maaşların rejimin finansmanı için kullanıldığı belirtiliyor.

• Hedef Coğrafya Kayması: Çalışanlar ağırlıklı olarak ABD'yi hedeflese de, bulgular Fransa, Polonya, Ukrayna ve Arnavutluk gibi ülkeleri de hedef alan Avrupa'ya doğru bir kayma olduğunu gösteriyor.

• Yapay Zekâ Kullanımı: BT çalışanları, yapay zekâyı iş görevlerini yerine getirmek, profil resimlerini ve özgeçmişlerindeki fotoğrafları manipüle etmek için kullanıyor. Hatta gerçek zamanlı video görüşmelerinde yüz değiştirme (deepfake) işlemi yapabiliyorlar.

Araştırmacılar, yaptırım uygulanan bir ülkeden yasa dışı bir çalışanın işe alınmasının sadece düşük performansla sonuçlanmakla kalmayıp, aynı zamanda tehlikeli bir iç tehdide de dönüşebileceği konusunda işverenleri uyarıyor. Bu tür faaliyetler, hem klasik suç hem de siber suç olarak sınıflandırılan karma bir tehdit oluşturuyor.