12 Mart 2026’da OFAC, Kuzey Kore’nin (DPRK) organize BT işçisi dolandırıcılık şebekesine yönelik yeni bir yaptırım dalgası başlattı. 6 kişi ve 2 kuruluş SDN listesine eklendi. Aynı anda 21 kripto para adresi — Ethereum ve Tron dahil birden fazla blockchain ağında donduruldu.

Bağlam kritik: Bu şemalar 2024 yılında DPRK rejimine yaklaşık 800 milyon dolar gelir sağladı. Para doğrudan nükleer silah ve balistik füze programlarına aktarıldı.

Şema Nasıl İşliyor?

DPRK, binlerce nitelikli BT çalışanını yurt dışına gönderiyor. Görev basit: meşru şirketlerde işe gir, maaşını Pyongyang’a aktar.

Ama kimse “Ben Kuzey Koreliyim” diyerek iş başvurusu yapmıyor.

Kimlik katmanı: Sahte belgeler, çalınmış kimlikler, kurgusal kişilikler. İşçiler, LinkedIn profillerinden portfolio’larına kadar kusursuz bir sahte geçmiş oluşturuyor. Freelance platformlarda, doğrudan şirketlerin kariyer sayfalarında, yazılım geliştirme projelerinde iş alıyorlar. ABD’li şirketler dahil küresel ölçekte hedefleniyor.

Gelir modeli: Rejim, çalışanların kazandığı maaşın %90’ına kadar el koyuyor. Kalan küçük pay işçilere veriliyor. Yıllık yüz milyonlarca dolar bu kanaldan akıyor.

Kripto katmanı: Kazanılan gelir doğrudan transfer edilmiyor. Aracılar devreye giriyor, maaşları kripto paraya çeviren, blockchain’ler arası transfer yapan, fiat’a döndüren bir ağ. Amaç: fonların DPRK’ya gittiğini gizlemek.

Tehdit tırmanması: Bazı vakalarda BT işçileri işe girdikten sonra şirket ağlarına malware yüklüyor. Hassas veri çekiyor. Sonra o veriyle fidye talep ediyor. İstihdam dolandırıcılığı veri hırsızlığına, veri hırsızlığı gasp girişimine dönüşüyor.

12 Mart 2026 Yaptırımında Kimler Var?

Vitaliy Sergeyevich Andreyev (Rus uyruklu): Rusya’da faaliyet gösteren kolaylaştırıcı. Daha önce yaptırıma uğrayan DPRK bağlantılı Chinyong Information Technology Cooperation Company için finansal işlemler gerçekleştirdi. DPRK konsolosluk yetkilisi Kim Ung Sun ile birlikte Aralık 2024’ten bu yana yaklaşık 600.000 dolar değerinde kripto parayı nakde çevirdi.

Kim Ung Sun (DPRK konsolosluk yetkilisi, Rusya’da): Andreyev ile koordineli çalışan rejim temsilcisi. SDN listesine DPRK hükümeti adına hareket etmek gerekçesiyle eklendi.

Shenyang Geumpungri Network Technology Co., Ltd (Çin): Çin merkezli şirket. DPRK şebekesinin Çin ayağında operasyonel destek sağlıyor.

Korea Sinjin Trading Corporation (DPRK): Kuzey Kore merkezli ticaret şirketi. Şema içinde ticari örtü işlevi görüyor.

Nguyen Quang Viet (Vietnam): Vietnam merkezli Quangvietdnbg International Services Company’nin CEO’su. 2023 ortasından 2025 ortasına kadar DPRK’lı çalışanlar adına yaklaşık 2,5 milyon doları kripto paraya çevirdi. Amnokgang Technology Development Company ile ilişkili BT işçilerinin gelirlerini taşıdı.

Do Phi Khanh (Vietnam): Daha önce yaptırıma uğrayan DPRK nükleer temin kolaylaştırıcısı Kim Se Un’un proxisi. Kim Se Un adına banka hesapları açtı, DPRK BT işçisi gelirlerini akladı.

Amnokgang Technology Development Company (DPRK): Bu eylemle ilk kez yaptırıma uğrayan kuruluş. Kuzey Kore’nin bilgi teknolojisi sektöründe faaliyet gösteriyor.

Neden Bu Kadar Zor Tespit Edilebiliyor?

Klasik bir sanctions evasion vakasında bir şirketin SDN listesindeki bir kuruluşla doğrudan işlem yaptığını kanıtlarsın. Burada tablo farklı.

İşveren pozisyonu: Bir ABD şirketi LinkedIn üzerinden freelance yazılımcı işe alıyor. Özgeçmiş gerçek görünüyor, teknik beceriler test edildi, referanslar sağlandı. KYC süreci bir iş başvurusunda nasıl çalışıyor?

Ödeme katmanları: Maaş doğrudan Pyongyang’a gitmiyor. Bir aracı alıyor, kripto’ya çeviriyor, birden fazla cüzdan üzerinden geçiriyor, başka bir aracı nakde dönüştürüyor. Zincir her adımda kopukluk yaratıyor.

Coğrafi dağılım: Çin, Rusya, Laos, Vietnam, işçiler farklı ülkelerde konuşlanmış. Yaptırımın tam olarak hangi yargı bölgesinde uygulanacağı belirsizleşiyor.

Kripto Boyutu

OFAC bu eylemde 21 kripto adresi dondurdu. Ethereum ve Tron ağlarında, yani multi-chain bir yapı.

Bu önemli bir sinyal: DPRK şebekesi artık tek bir blockchain’e bağlı değil. Fonlar birden fazla ağda hareket ettirilerek izlenebilirlik zorlaştırılıyor. Chainalysis bu adresleri kendi ürün kataloğuna ekledi — kripto şirketleri için screening yükümlülüğü anında doğdu.

Türkiye ve Bölgesel Bağlam

Bu şema Türkiye’yi doğrudan değil ama dolaylı olarak ilgilendiriyor.

Kripto aklama rotaları: DPRK şebekeleri kripto gelirlerini birden fazla ülkedeki aracılar üzerinden taşıyor. Türkiye’nin büyüyen kripto ekosistemi ve görece düşük AML olgunluğu bu tür geçiş ağları için potansiyel bir düğüm noktası. SPK’nın Haziran 2026 lisanslama deadline’ı bu bağlamda ayrıca kritik.

İşveren sorumluluğu: Türk teknoloji şirketleri ve startuplar freelance geliştirici platformlarından yoğun biçimde yararlanıyor. Profil oluşturulması konusunda DPRK’nın sergilediği sofistikasyon düşünüldüğünde, “kim olduğunu bilmiyorduk” savunması giderek daha zayıf bir zemine oturuyor.

Finansal kurum perspektifi: ABD, BM yaptırımlarını ihlal eden yabancı kuruluşlara ikincil yaptırım uygulama eğiliminde. DPRK BT işçisi gelirleriyle bağlantılı herhangi bir transfere aracılık eden bir kurum bu riskin kapsamı içine girebilir.

Sonuç

DPRK BT işçisi şeması, yaptırım delmenin en sofistike biçimlerinden biri. Silah değil, klavye. Sahte kimlikle yasal platformlarda meşru iş alarak başlıyor, maaş ödemeleri kripto ve aracı ağlarla Pyongyang’a ulaşıyor, gerektiğinde malware ve gasp boyutuna tırmanıyor.

OFAC’ın 21 kripto adresini tek seferde dondurması şunu gösteriyor: bu şebeke artık zincir bazında izleniyor. Multi-chain yaklaşım bile tam gizlilik sağlamıyor.

Mesaj net: Kim çalıştırdığınızı bilmek artık yeterli değil. Kim olduklarını doğrulamak zorundasınız.a