Gerçekleşen olay olası bir vaka örneği olarak paylaşılmış olsa da, yerli ve uluslararası kamu raporları ile güvenlik sektörünün yayımladığı saldırı örüntüleri bir araya getirildiğinde, bu tür işe başvuru/kollaborasyon/araştırma daveti kılığındaki spear-phishing saldırılarının hâlihazırda yaygınlaştığı değerlendirmesi yapılıyor.

Son yıllarda ülke içindeki ve dışındaki kurumları hedef alan çok sayıda APT (Gelişmiş Sürekli Tehdit) operasyonunda, başvuru e-postaları, işbirliği teklifleri ve araştırma daveti gibi normal iş iletişimlerini taklit eden spear-phishing yöntemlerinin tercih edildiği bildirildi. Özellikle Kuzey Kore ile ilişkilendirilen ve genellikle Reconnaissance General Bureau (Keşif Genel Müdürlüğü) bağlantılı kabul edilen Kimsuky ve Lazarus gibi grupların, Güney Kore, ABD, Japonya, Avrupa’daki diplomasi, finans, teknoloji, medya ve araştırma kurumlarına karşı bu taktiği tekrarladığına dair çok sayıda bulgu paylaşıldı.

Yerli güvenlik firmaları ve devlet kurumlarının analizlerine göre, Kuzey Kore bağlantılı olduğu düşünülen APT grupları; Türkiye’de kullanılan örneklerle benzer şekilde özgeçmiş formatlarını, ön yazı üslubunu ve HWP/DOCX dosya biçimlerini dikkatle taklit ederek insan kaynakları, finans ve araştırma birimlerine yönelik saldırılar düzenliyor. Bazı raporlarda gazeteci kılığına girilerek politika araştırmacılarına kötü amaçlı dosya gönderildiği; askeri kurumları hedef almak için ise yapay zeka ile üretilmiş sahte memur kimliği fotoğrafları kullanılarak güven sağlanmaya çalışıldığı aktarılıyor.

Bu tarz operasyonların amacı sadece hesap çalmak değil; uzun süreli olarak kurum içi ağlara sızıp belge ve veri indirimi yapmak veya ileride yapılacak daha büyük saldırılar için zemin hazırlamak olarak değerlendiriliyor. Ulusal ve uluslararası raporlar, saldırganların öncelikle e-posta, profiller ve özgeçmiş aracılığıyla güven tesis edip, ardından hedefin kötü amaçlı belgeyi çalıştırmasını veya zararlı bağlantıya tıklamasını sağlamaya çalıştığını belirtiyor.

Son dönemde tehdit analizlerinde öne çıkan bir değişiklik, saldırı e-postalarının dili ve üslubunun giderek daha doğal hâle gelmesi. Eskiden phishing maillerinde gözlenen yazım hataları veya çeviri kokan ifadeler artık daha az belirleyici; doğal Korece cümle yapısı ve iş e-postası üslubunu başarıyla taklit eden içerikler insan gözüyle ayırt edilemiyor. Uzmanlar, bu değişimin arkasında üretken (generative) yapay zekâ modellerinin kullanımının olduğunu söylüyor.

Avrupa Birliği Siber Güvenlik Ajansı (ENISA), raporlarında üretken AI’in oltalama ve sosyal mühendislik saldırılarının inceliğini ve ikna gücünü artıran bir faktör olduğuna dikkat çekti. Bazı endüstri analizleri ise 2025 başlarında gözlenen küresel phishing e-postalarının önemli bir kısmında AI üretimi izlerine rastlandığını öne sürdü. Kuzey Kore ile bağlantılı olduğu düşünülen grupların da yapay zekâ kullanarak sahte kimlikler, fotoğraflar ve özgeçmişler ürettiğine dair ABD ve Güney Kore güvenlik kurumları ile özel sektör raporları örnekler veriyor.

Örneğin bazı vakalarda, yapay zekâ ile oluşturulan sahte asker kimlikleriyle askeri kurumlara yönelik saldırı girişimleri veya yabancı IT sektöründe sahte iş başvurularıyla personel temini yoluyla sızma teşebbüsleri belirlendi. Amerikan AI şirketi Anthropic’in raporuna göre, Kuzey Kore bağlantılı hesapların AI aracılığıyla uydurma kimlik ve özgeçmişler üreterek yabancı IT firmalarına uzaktan çalışma amaçlı başvuru yaptığı ve hatta işe alımdan sonra AI’i işi yürütmede kullandıklarına ilişkin veriler raporlanmış durumda.

Kötü amaçlı belge saldırıları genel olarak tüm dünyada gözlemlenen doküman kampanyalarıyla paralel ilerliyor. Görünüşte normal HWP, DOCX veya PDF dosyaları içerisine gizlenen makro veya kötü amaçlı betikler, kullanıcı “içeriği etkinleştir” ya da “makroyu aç” gibi izinler verdiğinde aktif hale gelecek şekilde tasarlanıyor. Bazı DOCX örneklerinde otomatik makro çalıştırmayı zorlayan ya da uzak bir yükleyiciye referans veren teknikler tespit edildi. Ayrıca sık kullanılan sıkıştırma (.zip) dosyaları kötüye kullanılıyor; saldırganlar “입사지원서.pdf.exe” gibi çift uzantıyla çalıştırılabilir dosyaları belge gibi gösteriyor veya “이력서.hwp.zip” içinde zararlı yürütülebilir dosyalar saklıyor.

Google Drive, Dropbox, GitHub gibi meşru bulut ve kod paylaşım platformlarının linkleri üzerinden zararlı içerik dağıtımı da uluslararası tehdit raporlarında sıkça yer alan bir yöntem. Kuzey Kore bağlantılı taktiklerin yalnızca Güney Kore’ye özgü olmadığı; ABD, Avrupa ve Asya genelinde benzer sahte profiller ve sahte özgeçmiş taktiklerinin raporlandığı vurgulanıyor. ABD Hazine Bakanlığı, İç Güvenlik Bakanlığı ve FBI gibi kurumlar, Kuzey Koreli IT personelinin sahte İngilizce isimler, uydurma kariyerler ve tahrif edilmiş GitHub/LinkedIn profilleriyle Batılı IT, oyun ve AI şirketlerine uzaktan çalışma amacıyla başvurduğunu uyarmıştı.

Güney Kore içinde de; bazı raporlara göre Kuzey Kore bağlantılı gruplar devlet kurumlarını, vergi dairelerini, medya kuruluşlarını ve askeri kurumları taklit ederek belirli kişilerin bilgisayarlarına ve mobil cihazlarına sızdı; iletişim hesaplarını ele geçirip ek zararlı yazılımlar dağıttı. Bu örnekler, saldırıların yalnızca ulusal düzeydeki hedeflere değil, aynı zamanda sıradan çalışanlara, danışmanlara ve savunmasız gruplara kadar genişlediğini gösteriyor.

Kurumlar bu tehlikeye karşı önlem olarak insan kaynakları, finans ve araştırma e-postalarının ilk basamağına AI tabanlı belge ve dil analizi ile anomali tespiti çözümleri koyma eğiliminde. Doğal dil işleme (NLP) teknikleriyle mesajların stil, istatistiksel özellik ve bağlam analizleri yapılarak normal trafiğe uymayan phishing içerikleri filtreleniyor; makro ve betiklerin kod yapıları makine öğrenmesiyle sınıflandırılarak zararlı olduğu belirlenmeye çalışılıyor.

Ancak güvenlik uzmanları, saldırganların da üretken AI kullanarak hâlâ tespit edilmeyen yeni üslup ve belge yapıları oluşturduğunu, meşru platformları suistimal ederek güvenlik mekanizmalarını aşmaya çalıştıklarını belirtiyor. Uzmanlar, Kuzey Kore bağlantılı grupların yalnızca devlet kurumlarını değil, sıradan çalışanların bilgisayar ve mesajlaşma hesaplarını da hedef alarak derin sızmalar gerçekleştirdiğini vurguluyor ve bireysel güvenlik önlemlerine dikkat çekiyor.

Özellikle Korece iş yazışma üslubunu ve yerel HWP belge formatını titizlikle taklit edebilen saldırılar nedeniyle, kullanıcıların e-posta gönderen adreslerinin kurumların resmi domainleriyle birebir örtüşüp örtüşmediğini kontrol etmeleri, sıkıştırma dosyalarının içinde .exe, .scr, .bat gibi yürütülebilir dosyalar olup olmadığına bakmaları ve kaynağı belirsiz ekleri kurum içi antivirüs ile taramadan açmamaları öneriliyor. Ayrıca e-postadaki Google Drive/Dropbox/GitHub bağlantıları üzerinde imleci bekleterek gerçek URL’yi kontrol etmek ve şüpheli görülen mesajları kurum güvenlik birimine veya siber ihbar kanallarına iletmek tavsiye ediliyor. (İLKHA)