Kuzey Koreli hackerlar Google Dokümanlar ve Upwork üzerinden kripto sektörüne sızıyor

Kuzey Koreli Hackerlar Google Dokümanlar ve Upwork Üzerinden Kripto Para Sektörüne Sızıyor

Kuzey Kore bağlantılı hacker gruplarının Google Dokümanlar, Upwork, LinkedIn gibi yaygın profesyonel platformları kullanarak küresel çapta kripto para geliştiricisi kılığına girdikleri ortaya çıktı. 24’ünde (yerel saatle), sızıntıyı sağlayan anonim bir kaynak tarafından paylaşılan dosyalara göre, bu kişilerden yalnızca beş kişilik küçük bir ekip oluşturmalarına rağmen 30'dan fazla sahte kimlik üzerinden faaliyet yürütüyorlar. Bulgular, ünlü blokzincir dedektifi ZachXBT tarafından kamuoyuna sunuldu.

Araştırmaya göre, Kuzey Koreli bu hacker ekipleri hükümet kaynaklı kimlik belgeleri, VPN hizmetleri, yapay zeka yazılımları ve bilgisayar ekipmanları temin ederek platformlara geliştirici olarak kayıt oluyor. Elde edilen ekran görüntüleri, Google Drive ve Google Chrome profillerinin çalışma takvimi planlama, görev dağılımı ve bütçe takibinde yoğun şekilde kullanıldığını gösteriyor. Bu kişilerin genellikle İngilizce iletişim kurduğu belirtildi.

Dikkat çeken başka bir detay ise, ekip tarafından hazırlanan bir 2025 planlama tablosunda yer alan haftalık iş raporları ve muhasebe belgeleri oldu. Belgelere “Görevi tam anlayamadım” gibi dürüst geri bildirimlerin yanı sıra “Daha dikkatli ve düzenli olalım” gibi kişisel gelişim notlarının da yer alması, bu kişilerin profesyonel görevlerine ayak uydurmaya çalıştığını ortaya koyuyor.

Paylaşılan başka bir dosyada ise, sahte sosyal güvenlik numaraları, Upwork ve LinkedIn hesapları, sanal telefon numaraları, AI abonelikleri, bilgisayar kiralama bilgilerinin yanı sıra VPN alımlarının dökümleri bulundu. Ayrıca, ‘Henry Zhang’ takma adıyla hazırlanmış mülakat senaryoları ve toplantı programları da mevcut.

Bu kişiler gerçekte başka bir konumda olmalarına rağmen, AnyDesk gibi uzaktan erişim yazılımları üzerinden çalıştıkları makinelere bağlanarak başka ülkelerden çalışıyor gibi davranıyor. Aldıkları ödemeleri Payoneer üzerinden alıp kripto paraya dönüştürüyorlar. Bu adreslerden biri olan ‘0x78e1’, 2025 Haziran’ında kripto para girişimi Favrr'a yönelik 680 bin dolarlık bir saldırıya bağlandı. Favrr’ın teknik ekibi arasında yer alan mühendislerin de Kuzey Koreli olduğu doğrulandı.

Grubun Kuzey Koreyle bağlantısını gösteren diğer bir işaret ise Korece anahtar kelimelerin sıkça Google Çeviri üzerinden Rusya IP adresleriyle aranması oldu. ZachXBT bu kişilerin “teknik olarak çok ileri seviyede olmasalar da, küresel düzeyde binlerce işe başvurarak ciddi bir stratejik tehdit yarattığını” vurguladı. Özel şirketler arasındaki koordinasyon eksikliği ve kurum içinden gelen uyarıların çoğu zaman dikkate alınmaması, bu saldırganların izinin sürülmesini daha da zorlaştırıyor.

Öte yandan, Kuzey Kore’nin önde gelen siber saldırı grubu Lazarus Group halen kripto para sektörünü tehdit eden en büyük aktörlerden biri olarak öne çıkıyor. 2025 Şubat’ında grup, Dubai merkezli kripto borsası Bybit’ten yaklaşık 1,5 milyar dolar çalarak tarihin en büyük kripto saldırılarına imza attı. Bu saldırıda Safe{Wallet} cüzdanındaki çoklu imza güvenlik açığı kullanıldı ve ABD Federal Soruşturma Bürosu(FBI) bu olayı Kuzey Kore’nin “TraderTraitor” adlı operasyonunun bir parçası olarak tescilledi.

Aynı yıl temmuz ayında ise, Hindistan merkezli CoinDCX borsasına yapılan ve 44 milyon dolarlık zarar yaratan bir başka saldırının da Lazarus Group ile bağlantısı belirlendi. Saldırganlar bu operasyon sırasında borsa çalışanlarına ait sızdırılmış kimlik bilgilerini kullanarak sistemin likidite altyapısına erişim sağladı.

Kuzey Kore’nin kripto dünyasına yönelik bu tür sızma girişimleri, yalnızca siber suç olarak değil, aynı zamanda küresel blokzincir ekosisteminin ‘güven’ temelini sarsan bir tehdit olarak değerlendiriliyor. Kripto şirketleri ve geliştirici topluluklarının bu gizli aktörlere karşı daha dikkatli ve kararlı şekilde harekete geçmesi gerekiyor.