Kuzey Kore bağlantılı Lazarus Group tarafından geliştirilen yeni bir zararlı yazılım aracı olan “RemotePE”, günümüz dijital tehditlerine yeni bir boyut kazandırıyor. Bellekte işletilen ve fiziksel iz bırakmayan bu uzaktan erişim aracı (RAT), özellikle bankalar ve kripto para şirketlerini hedef alarak karmaşık güvenlik sistemlerinin bile işini zorlaştırıyor.
Sosyal Mühendislik ve Zararlı Yazılım Yüklemeleri
Lazarus Group’un saldırı stratejileri genellikle sosyal mühendislik temelli. Uzmanlar, grubun Telegram üzerinden kendilerini yatırım danışmanı olarak tanıtarak kurbanlarla irtibat kurduğunu belirtiyor. Hastalıklı güven ilişkisi kurulduktan sonra, zararlı yazılımın hedef sisteme yüklenmesi sağlanıyor. Bu süreç, kurbanları dikkat çekmeden tuzağa düşürmek için hayli etkili bir yol olarak görülüyor.
Lazarus Group, sosyal mühendislikten yararlanıp, kurbanları güven ilişkisinin içine çekerek ilk zararlı yazılım yüklemesini kolaylaştırıyor. Sonraki adımlar ise tek hedefli, aşamalı saldırı zinciriyle devam ediyor.
Başlangıçta kullanılan DPAPILoader dinamik bağlantı kütüphanesi (DLL), RemotePELoader’ı hafızaya yükleyerek asıl zararlı yazılımın diskten bağımsız çalışmasına olanak tanıyor. Bu, saldırı sürecinin disk üzerinde iz bırakmadan tamamlanmasını sağlıyor ve tespit edilmesini zorlaştırıyor.
Akıllı Saldırı Zincirleri ve Daha Fazlası
Yazılımın özellikleri arasında Hell’s Gate ve ETW Patching gibi ileri teknikler dikkat çekiyor. Bu teknikler, zararlı yazılımın modern güvenlik önlemlerini atlatmasına yardımcı oluyor. Zamanla saldırı zinciri üç aşamaya genişleyerek daha karmaşık bir yapıya bürünüyor, bu da yazılımın tespit edilmesini iyice zorlaştırıyor.
Aynı zamanda, DeFi sektörüne yapılan saldırılarda RemotePE ile birlikte PondRAT ve ThemeForestRAT isimli zararlı yazılımların kullanıldığı da tespit edildi. Bu yazılımlar, sırasıyla devreye alınarak finans sektöründe ciddi tehlikeler yarattı.
Kuzey Kore’nin Siber Yetkinlikleri
Fox-IT raporları, RemotePE’nin yalnızca bellek içi çalışması ve yeni nesil kaçınma taktikleri sayesinde tespit edilmesinin çok zor olduğunu gözler önüne seriyor. Siber suçluların başarısı, yalnızca teknik becerilerine değil aynı zamanda sosyal mühendislik stratejilerine de dayanıyor.
TRM Labs’ın yayımladığı 2026 raporuna göre, Kuzey Kore bağlantılı saldırganlar yalnızca iki olayla yılın ilk dört ayında 577 milyon dolar değerinde dijital varlığı ele geçirdi ve bu miktarla Kuzey Kore’nin toplam kripto saldırılarındaki payı son yılların en yüksek seviyesine çıktı.
Dijital varlık sahasında bu tarz saldırılarla Kuzey Kore, ciddi ekonomik yaptırımlar altında bile nasıl kaynak yaratabildiğini bir kez daha gösteriyor. Saldırıların arkasında ise global piyasalardaki kripto para akışını büyük ölçüde kontrol altına almayı başardıkları açık.
