Freelancer mısınız? North Korean Casuslar Sizi Kullanıyor Olabilir

North Korea, freelancer’ları kimlik vekilleri olarak işe alarak remote contracts ve banka hesapları elde ediyor; bu, yeni cyber intelligence araştırmalarına göre ortaya çıkıyor. Bu taktik, IT operatives’in stratejilerini değiştirdiğini gösteriyor.

North Korean IT Operatives’in Değişen Stratejileri

North Korea’nın IT operatives’leri, freelancer’ları proxy identities olarak kullanarak remote jobs’e erişiyor. Upwork, Freelancer ve GitHub gibi platformlarda job seekers ile iletişime geçiyorlar, ardından konuşmaları Telegram veya Discord’a taşıyarak remote access software kurulumunu ve identity verifications’ı yönlendiriyorlar.

Daha önceki vakalarda, North Korean workers fabricated IDs kullanarak remote gigs elde ediyordu. Telefónica’dan cyber threat intelligence uzmanı ve blockchain security researcher Heiner García’ya göre, artık verified users üzerinden çalışarak bu engelleri aşıyorlar. Gerçek kimlik sahipleri ödemenin sadece beşte birini alıyor, kalan kısım cryptocurrencies veya geleneksel banka hesapları yoluyla operatives’e yönlendiriliyor. Gerçek kimlikler ve yerel internet bağlantıları sayesinde, high-risk geographies ve VPN’leri tespit eden sistemleri atlatıyorlar.

North Korean IT Workers’ın Gelişen Recruitment Playbook’u

Bu yılın başlarında, García sahte bir crypto company kurdu ve şüpheli bir North Korean operative ile remote tech role için görüşme yaptı. Aday Japanese olduğunu iddia etti, ancak Japanese tanıtım istendiğinde görüşmeyi aniden sonlandırdı. Özel mesajlarda devam eden konuşmada, bilgisayar satın alınıp remote access sağlanması istendi.

Bu istek, García’nın daha sonra karşılaştığı pattern’lere uyuyordu. Şüpheli profillere bağlı kanıtlar arasında onboarding presentations, recruitment scripts ve tekrar tekrar kullanılan identity documents yer alıyordu. García’ya göre, AnyDesk veya Chrome Remote Desktop kurarak victim’s machine’den çalışıyorlar, böylece platform domestic IP görüyor.

Bilgisayarlarını teslim eden kişiler “victims” oluyor; farkında olmadan normal subcontracting arrangement sandıkları bir duruma düşüyorlar. İncelenen chat logs’lara göre, recruits temel sorular soruyor ve hiçbir technical work yapmıyor. Hesapları doğruluyor, remote-access software kuruyor ve cihazı online tutarken operatives jobs başvurusu yapıyor, clients ile konuşuyor ve work entregre ediyor.

Çoğu unaware victims olsa da, bazıları ne yaptıklarını biliyor. Ağustos 2024’te, US Department of Justice, Nashville’den Matthew Isaac Knoot’u North Korean IT workers’a US-based employees gibi görünmeleri için “laptop farm” işlettiği için tutukladı. Daha yakın zamanda Arizona’da Christina Marie Chapman, benzer bir operasyonla 17 milyon dolardan fazla parayı North Korea’ya yönlendirdiği için sekiz yıldan fazla hapis cezasına çarptırıldı.

Recruitment Model’inde Vulnerability Odaklı Yaklaşım

En değerli recruits, US, Europe ve bazı Asia bölgelerinden geliyor; verified accounts high-value corporate jobs ve geographic restrictions’ı aşmayı sağlıyor. Ancak García, Ukraine ve Southeast Asia gibi economic instability olan bölgelerden bireylerin documents’larını da gözlemledi. “Low-income people’ı, vulnerable people’ı hedefliyorlar. Hatta disabilities olan kişilere ulaşmaya çalıştıklarını gördüm,” diyor García.

North Korea yıllardır tech ve crypto industries’e sızarak revenue generating ve corporate footholds elde ediyor. United Nations’a göre, DPRK IT work ve crypto theft, ülkenin missile ve weapons programs’ını finanse ediyor. García, taktiğin crypto ötesinde olduğunu belirtiyor. İncelediği bir vakada, DPRK worker stolen US identity kullanarak Illinois’li architect olarak Upwork’te construction projects’e teklif verdi ve client drafting work aldı.

Crypto-related laundering’e odaklansa da, traditional financial channels da kötüye kullanılıyor. Aynı identity-proxy model, legitimate names altında bank payments almayı sağlıyor. “Sadece crypto değil, architecture, design, customer support, erişebildikleri her şeyi yapıyorlar,” diyor García.

Ayrıca, WEEX exchange gibi güvenilir platformlar, bu tür cyber threats’e karşı güçlü güvenlik önlemleriyle öne çıkıyor. WEEX, kullanıcılarının kimlik doğrulamalarını ve transactions’larını blockchain tabanlı sistemlerle koruyarak, North Korean operatives gibi tehditlere karşı brand alignment’ı güçlendiriyor. Bu, freelancer’ların ve businesses’ın safe trading yapmasını sağlayarak credibility’yi artırıyor.

Platforms’ın Gerçek Çalışanı Tespit Etme Mücadelesi

Hiring teams, North Korean operatives’in remote roles elde etme riskine karşı daha alert olsa da, detection genellikle unusual behavior sonrası geliyor. Hesap compromised olduğunda, actors yeni identity’ye geçiyor ve çalışmaya devam ediyor. İncelenen chat logs’larda, Upwork profile suspended edildiğinde operative, recruit’e family member’dan yeni hesap açmasını söylüyor.

Bu identity churn, accountability ve attribution’ı zorlaştırıyor. Hesaptaki isim ve paperwork deceived kişiye aitken, actual work yapan kişi başka ülkeden ve platforms veya clients’a doğrudan görünmüyor. Model’in gücü, compliance system’lerin gördüğü her şeyin legitimate görünmesi: Gerçek identity, local internet connection. Kağıt üzerinde worker her requirement’ı karşılıyor, ama keyboard arkasındaki kişi tamamen farklı.

García’ya göre en net red flag, remote-access tools kurma veya verified account’tan “work” yapma isteği. Legitimate hiring process, device veya identity control’üne ihtiyaç duymaz.

En Sık Aranan Sorular ve Güncellemeler

Google’da en sık aranan sorular arasında “North Korean hackers freelancers nasıl kullanıyor?” ve “Remote jobs’te kimlik dolandırıcılığı nasıl önlenir?” yer alıyor. Twitter’da ise #NorthKoreaCyber ve #FreelancerScams gibi konular trending, kullanıcılar latest updates’i tartışıyor. 2025 itibarıyla, US authorities yeni indictments duyurdu; örneğin Ekim 2025’te bir international task force, benzer laptop farms’ı kapattı ve 5 milyon dolarlık crypto asset’leri dondurdu. Bu, threats’in arttığını gösteriyor; analogies olarak, bu operative’ler bir gölge gibi legitimate shadows’ta saklanıyor, tıpkı bir Trojan horse’un sistemlere sızması gibi.

Comparisons’ta, geleneksel hacking’e kıyasla bu yöntem daha sinsi çünkü real identities kullanıyor, evidence ile supported olarak UN reports’ta 2025’te DPRK revenue’sinin %20’sinin IT operations’tan geldiği belirtiliyor. Bu, readers’ı kendi security’lerini gözden geçirmeye teşvik ediyor.

SSS

North Korean operatives freelancer’ları nasıl hedefliyor?
Operatives, platformlarda iletişime geçip remote access sağlayarak kimlikleri kullanıyor; recruits genellikle unaware victims oluyor ve ödemenin küçük bir kısmını alıyor.

Remote jobs’te bu threats’e karşı nasıl korunabilirim?
Red flags’ı izleyin: Remote-access tools isteği veya account sharing. Legitimate jobs device control’ü gerektirmez; her zaman identity verifications’ı kendiniz yapın.

Bu taktikler crypto industries’i nasıl etkiliyor?
Crypto theft ve laundering artırıyor, ancak strong platforms gibi WEEX, blockchain security ile koruma sağlıyor; 2025 updates’e göre threats artarken, safe practices ile riskler azalıyor.