Kuzey Koreli BT Çalışanları Yüzlerce ABD Teknoloji Şirketine Sızdı: CrowdStrike Operasyonu Deşifre Etti

Yapay zeka destekli işe alım tuzağı

Famous Chollima’nın temel taktiği hem sofistike hem de rahatsız edici derecede basit: bir iş bul. En az 2018'den beri aktif olan grup, genellikle uzaktan yazılım geliştirici olarak, sahte serbest çalışma veya tam zamanlı istihdam elde etme konusunda uzmanlaşmış durumda .

Son dönemde değişen şey ise, bu işe alım dolandırıcılığının endüstriyel bir boyut kazanması. CrowdStrike’ın 2025 Tehdit Avı Raporu, "işe alım ve istihdam sürecinin her aşamasında iş akışlarını otomatikleştiren ve optimize eden üretken yapay zeka araçlarını derinlemesine entegre eden bir düşmanın net bir resmini" çiziyor .

Raporlarda belgelenen özel taktikler şunları içeriyor:

• Uzaktan mülakatlar için yapay zeka ile oluşturulmuş deepfake video ve ses. Operatifler, video görüşmeleri sırasında seslerini ve videolarını gerçek zamanlı olarak değiştirmek ve teknik sorulara ikna edici yanıtlar üretmek için OpenAI’ın ChatGPT’si ve Google’ın Gemini’si dahil olmak üzere tüketici üretken yapay zeka araçlarını kullanıyor .
• Tamamen uydurma profesyonel kimlikler. Tehdit aktörleri, arka plan kontrollerini geçebilecek inandırıcı iş geçmişleri ve sahte özgeçmişlerle, yapay zeka tarafından oluşturulmuş profil resimlerine sahip cilalı LinkedIn profilleri oluşturuyor .
• Gerçek çalıntı kimlik belgeleri. Operatifler, güvenlik tarama sistemleri için meşruiyet yanılsamasını güçlendirmek amacıyla çalıntı ABD Sosyal Güvenlik numaralarını ve diğer kimlik belgelerini kullanıyor .

CrowdStrike’ın OverWatch tehdit avlama ekibi, 12 aylık bir dönemde Famous Chollima operatiflerinin sahte istihdam elde ettiği 320'den fazla ayrı vakayı araştırdı; bu, bir önceki yıla göre şaşırtıcı bir şekilde %220'lik bir artış anlamına geliyor . Bu kılık değiştirmiş işe alımların başarı oranı da %220 fırladı ve CrowdStrike’ın Düşman Operasyonlarına Karşı Koyma Başkan Yardımcısı Adam Meyers, ekibinin şu anda neredeyse her gün böyle bir olaya müdahale ettiğini belirtti .

Peşinde oldukları şey ne?

Motivasyon, yaptırım altındaki rejim için çift yönlü bir gelir boru hattı.

İlk kanal, doğrudan maaş hırsızlığı. Famous Chollima operatifleri, sızdıkları şirketlerden maaşlarını alarak Kuzey Kore'ye aktarıyor. İkincisi ve kurbanlar için daha yıkıcı olanı ise fikri mülkiyet hırsızlığı. Operatifler, ağa meşru kimlik bilgileriyle girdikten sonra özel kaynak kodlarını, ticari sırları ve diğer hassas fikri mülkiyeti çalıyor .

Sahte BT çalışanı şemasına paralel olarak, daha geniş Kuzey Kore siber ekosistemi devasa bir kripto para hırsızlığı operasyonu yürütüyor. CrowdStrike’ın 2026 Finansal Hizmetler Tehdit Ortamı Raporu, Kuzey Kore bağlantılı grupların 2025 yılında toplamda 2,02 milyar dolar değerinde dijital varlık çaldığını ortaya koydu; bu, bir önceki yıla göre %51'lik bir artış . En büyük tek vurgun olan 1,46 milyar dolarlık kripto para hırsızlığı, bir tedarik zinciri saldırısı yoluyla truva atı bulaştırılmış yazılım dağıtan PRESSURE CHOLLIMA adlı ilişkili gruba atfedildi .

Bu fonların nihai varış noktası açık. 2026 Finansal Hizmetler Tehdit Ortamı Raporu'na göre, çalınan milyarlarca dolar "neredeyse kesinlikle aklandı ve rejimin askeri ve nükleer silah programlarını finanse etmek için kullanılacak" .

İşe alım sonrası: Veri hırsızlığı ile şantaj

Famous Chollima hakkındaki kamuya açık raporlar ağırlıklı olarak sızma ve hırsızlığa vurgu yaparken, verilerin dışarı çıkarılması ikinci bir potansiyel kazanç kapısını da beraberinde getiriyor. Daha geniş çaplı Kuzey Kore siber operasyonları, fidye ödenmediği takdirde çalınan bilgileri sızdırmakla tehdit etme anlamına gelen 'veri hırsızlığı şantajı' taktiğini benimsemiş durumda.

CrowdStrike’ın daha önceki Küresel Tehdit Raporu, birçok düşman için tercih edilen bir para kazanma yolu haline gelmesiyle, özel sızıntı sitelerinde adı geçen kurban sayısında %76’lık bir artış olduğunu takip etmişti . CrowdStrike, Kuzey Kore bağlantılı aktörlerin fidye yazılımı (ransomware) dağıtmadan veri hırsızlığı ve şantaj kampanyaları yürüttüğünü; hassas verileri ifşa etme tehdidiyle baskı uyguladığını belirtiyor .

Ayrıca CrowdStrike, Famous Chollima’yı içeren hizmet müdahalelerinde, vakaların %50'sinde veri hırsızlığının doğrulandığını teyit etti . Dışarı sızdırılan bu bilgiler şantaj için kullanılabilir; ancak bugüne kadarki kamuya açık rapor özetleri, grubun içeriden sızma ve maaş-kripto hırsızlığı boru hattına daha doğrudan odaklanıyor.

Operasyonun ölçeği ve karmaşıklığı, ulus devlet siber saldırılarında yeni bir paradigma anlamına geliyor; tehdit artık çevre savunmalarını aşmaktan, işe alınan, maaşını alan ve içeriden çalıp götüren güvenilir içeridekilere doğru kayıyor.