Kuzey Kore ile bağlantılı siber suç grupları, son yıllarda kripto para alanında küresel boyutta önemli tehditler arasında yer alıyor. Çok Uluslu Yaptırımlar İzleme Ekibi’nin (MSMT) en güncel raporunda belirtilene göre, 2024’ün başından beri bu gruplar yaklaşık 2,83 milyar dolar değerinde dijital varlığı zimmetlerine geçirmeyi başardı. Sadece yılın ilk dokuz ayında çalınan tutar ülkenin döviz gelirinin üçte birini oluşturdu.
Kripto Para Borsalarına Yönelik Saldırıların Artışı
MSMT, 11 ülkenin katılımıyla 2024’te faaliyete geçerek Kuzey Kore’nin siber faaliyetleri yoluyla yaptırımları nasıl deldiğini yakından izliyor. Yayınladıkları raporda, 2025 yılı itibarıyla kripto para hırsızlıklarının geçtiğimiz yıla kıyasla yüzde 50 oranında arttığı gözlemleniyor. Özellikle Şubat ayında Bybit borsasına yönelik saldırı, dijital varlık kayıplarının en büyüğünü oluşturdu.
“Saldırıyı düzenleyen TraderTraitor grubu, Bybit’in çoklu imzalı cüzdan sağlayıcısı SafeWallet’i ele geçirerek dahili transfer görünümünde işlemler yaptı ve bu yolla soğuk cüzdan akıllı sözleşmesini kontrol altına aldı.”
Kuzey Koreli hackerların doğrudan borsalardan ziyade, üçüncü parti hizmet sağlayıcılarını hedef alması dikkat çekiyor. Sahte kimlikler, geliştirici profilleri ve tedarik zinciri açıkları üzerinden gerçekleştirilen saldırılarda TraderTraitor, CryptoCore ve Citrine Sleet gibi farklı hacker ekiplerinin rolü öne çıkmakta. Web3 projelerinden Munchables’ın maruz kaldığı 63 milyon dolarlık kayıp ise bu saldırı tarzlarının bir diğer örneği.
Küresel İş Birliğiyle Kurgulanan Aklama Yöntemleri
Elde edilen varlıkların itibari paraya dönüştürülme sürecinde ise oldukça karmaşık bir yol izleniyor. İlk olarak merkeziyetsiz borsalarda kripto paralar Ethereum’a çevriliyor, ardından Tornado Cash ve Wasabi Wallet gibi karıştırıcı servislerle izler neredeyse tamamen kayboluyor. Sonrasında Bitcoin’e dönüştürülen fonlar, farklı köprü platformlarına aktarılıp tekrar karıştırılarak kimlik tespiti zorlaştırılıyor.
Daha sonra bu varlıklar Tron üzerinden USDT’ye dönüştürülerek, OTC (tezgah üstü) piyasalarına aktarılıyor ve aklama süreci tamamlanıyor. Bu operasyonlarda Çin, Rusya ve Kamboçya merkezli kişi ve şirketlerin önemli roller üstlendiği ortaya çıkmakta.
“Huione Pay gibi Kamboçya merkezi finansal platformların lisans süreleri dolmuş olmasına rağmen, kripto transferlerinde aktif biçimde kullanıldığı tespit edildi. Bybit saldırısında aklanan fonlarda ise Rus aracıların belirgin bir katkısı bulunuyor.”
MSMT, Pyongyang destekli şebekelerin 2010’lardan bu yana Rusça konuşan siber suçlularla işbirliği yapmaya devam ettiğini ve son dönemde fidye yazılımı hizmetlerinde de küresel bağlantılar kurduğunu belirtiyor. Kurum, Birleşmiş Milletler üyesi ülkelerin siber tehditlere karşı daha yüksek farkındalık geliştirmesi için çağrılarını sürdürüyor.
