Kuzey Koreli hackerların yaptırımlara rağmen kripto para ile nasıl ödeme aldıkları.

TRM Labs, Kuzey Koreli BT işçilerinin blockchain girişimleri için gizlice çalışırken milyonlarca USDC ve USDT akladığını belirtiyor.

Kuzey Kore, silah programlarını gizlice finanse etmek için kripto paralara bağımlılığını sürdürmeye devam ediyor ve ABD hükümeti bunu durdurmak için çabalarını artırıyor. 8 Temmuz'da, ABD Hazine Bakanlığı'nın Yabancı Varlıklar Kontrol Ofisi, kendilerini habersiz teknoloji ve kripto şirketlerinde sahte uzaktan çalışanlar içeren yaygın bir planı organize etmeye yardımcı olduğu söylenen Kuzey Koreli hacker Song Kum Hyok'a yaptırım uyguladı.

Blockchain adli firma TRM Labs'tan alınan son rapora göre, Song, Kuzey Kore'nin askeri istihbaratına bağlı bir siber suç birimi olan Andariel ile bağlantılıydı. Onlar, onun, çoğu aslında Kuzey Koreli ajanlar olan BT çalışanlarını, çalınan Amerikan kimlikleri ve sahte belgeler kullanarak ABD şirketlerinde işe yerleştirmede önemli bir rol oynadığını açıkladılar.

Bu işlerin çoğu web3, kripto altyapısı veya blok zinciri ile ilgili yazılım geliştirme alanındaydı.

TRM Labs, bu çalışanların ABD merkezli serbest çalışanlar gibi davranarak Çin ve Rusya gibi ülkelerden faaliyet gösterdiğini söyledi. USD Coin (USDC) ve Tether (USDT) gibi stablecoin'lerde ödeme aldılar. Buradan para, Kuzey Kore rejiminin eline ulaşmadan önce cüzdanlar, karıştırıcılar ve dönüşüm hizmetleri aracılığıyla katmanlar halinde aktı gibi görünüyor.

“Hazine, Kim rejiminin dijital varlık hırsızlığı, Amerikalıları taklit etme girişimleri ve kötü niyetli siber saldırılar yoluyla yaptırımları aşma çabalarını bozmak için mevcut tüm araçları kullanmaya kararlıdır.”

Hazine Müsteşarı, Michael Faulkender

TRM Labs'taki analistler, bunun Kuzey Kore'nin Keşif Genel Bürosu'nun — Lazarus ve Bluenoroff'un arkasındaki aynı ajans — askeri hedefleri desteklemek için hala siber taktikler kullandığını gösteren en son işaret olduğunu belirttiler. Hazine yetkilileri, kripto hırsızlığı ve kimlik dolandırıcılığının, Kuzey Kore'nin ekonomik baskılardan kaçınma stratejisinin merkezinde yer aldığını uyardılar.

Analistler, OFAC tarafından ortaya çıkarılan planın büyük ölçüde sahte kimliklere dayandığını açıkladı. Song'un, gerçek ABD vatandaşlarından çalınan verileri kullanarak bu sahte kimlikleri oluşturmakla sorumlu olduğu iddia ediliyor. İstihdam edildikten sonra, Kuzey Koreli ajanların sahte isimler altında ABD şirketlerinde aylardır hatta yıllarca çalışmış olabilecekleri belirtiliyor.

Ayrıca, OFAC'ın bu sahte BT işlerini yönetmeye yardımcı olduğu iddia edilen Rusya merkezli bir ağa bağlı dört şirketi ve bir başka kişiyi yaptırıma tabi tuttuğunu belirttiler. Bu işletmelerin, DPRK ile bağlantılı firmalarla uzun vadeli sözleşmeler imzaladığı ve Kuzey Koreli işçilerle çalıştıklarının farkında oldukları bildirildi.

Birçok işçi, ödemelerin daha kolay bir şekilde anonim hale getirilebildiği kripto sektöründeki işlere hedef aldı. TRM Labs analistlerine göre, kripto alındıktan sonra, birkaç cüzdana dağıtıldı ve nihayetinde bazıları daha önce yaptırım uygulanmış olan OTC brokerları aracılığıyla fiat para birimine dönüştürüldü.

Siber İttifakı

OFAC'ın en son eylemi, Adalet Bakanlığı ve FBI da dahil olmak üzere ABD ajanslarının koordineli hamlelerinin bir serisini izledi. 5 Haziran 2025'te DOJ, aynı Kuzey Kore ağıyla bağlantılı olduğu düşünülen 7,7 milyon dolardan fazla kripto, NFT ve diğer dijital varlıkları ele geçirmek için bir medeni el koyma davası da açtı.

TRM Labs, çalışanların kripto girişimleri ve diğer teknoloji firmalarında işe alınmak için "Joshua Palmer" ve "Alex Hong" gibi kimlikler kullandığını söylüyor. Sabit paralarla ödeme aldılar; gelirler merkezi borsa, kendi barındırılan cüzdanlar üzerinden yönlendirildi ve ardından zaten ABD yaptırımları altında olan Kim Sang Man ve Sim Hyon Sop gibi yüksek düzeydeki rejim figürlerine ulaştı.

Analistlere göre, DOJ'nin soruşturması operasyonun bazı bölümlerinin Rusya ve BAE'deki altyapıya dayandığını ortaya koydu. Araştırmacılar, Kuzey Koreli işçilerin gerçek kimliklerini gizlemelerine yardımcı olan yerel IP adresleri ve sahte belgelerin kullanımını buldular. Bu durumun, planın ne kadar uluslararası hale geldiğini vurguladığını söylediler.

DPRK BİT çalışanlarının cüzdanlarıyla ilgili zincir üstü faaliyetler | Kaynak: TRM LabsTRM tarafından incelenen blok zinciri verileri, fonlar orta seviye cüzdanlara ulaştığında, paranın daha küçük parçalara ayrıldığını, gizlilik artırıcı araçlar aracılığıyla yönlendirildiğini ve nihayetinde OTC masaları aracılığıyla fiat ile takas edildiğini gösterdi. Bu OTC aracılarından biri, 2024'ün sonlarında OFAC tarafından zaten yaptırıma tabi tutulmuştu.

Yasa uygulama çabaları açısından, FBI ve diğer ajanslar, aklanan dijital varlıkların bir kısmını, USDC, ETH ve bazı yüksek değerli NFT'leri başarılı bir şekilde ele geçirdi. Analistler, bu el koymaları, para izini kırmak ve tespiti çok daha zor hale getirmek amacıyla daha geniş bir aklama stratejisinin parçası olarak tanımladı.

TRM Labs, ABD hükümetinin en son eyleminin, kriptonun yaptırım kaçırma için yüksek riskli bir kanal olmaya devam ettiğine dair bir mesaj gönderdiğini söylüyor, özellikle Kuzey Kore operasyonları söz konusu olduğunda. Blockchain istihbarat firması, uzaktan geliştirici işe alan şirketlerin — özellikle blockchain alanında — gerçekten kiminle muhatap olduklarını doğrulamak için ekstra özen göstermeleri gerektiği konusunda uyardı.