Cumartesi, 18 Nisan'da, Kelp DAO tarafından işletilen bir zincirler arası köprü sessizce 116.500 rsETH kaybetti. Pazartesiye gelindiğinde, LayerZero saldırganlar için bir isim bulmuştu. Yeni bir isim değildi.
Kuzey Kore'nin Lazarus Grubu artık kriptoda sadece bir hacker etiketi değil. Devlet destekli siber operasyonların dijital varlıkları stratejik bir finansman kanalına dönüştürdüğünün en net kanıtı; sektörün en büyük ihlalleri artık tekil hatalar değil, uzun döngülü operasyonel yenilgiler gibi görünüyor.
- LayerZero, 18 Nisan 2026 tarihli Kelp DAO saldırısını, yaklaşık 292 milyon dolar değerinde Ether (eth) türev tokenlarını içeren istismarı, Kuzey Kore'nin Lazarus Grubu'na ve onun TraderTraitor alt birimine atfediyor.
- Chainalysis, DPRK bağlantılı aktörlerin 2025'te 2,02 milyar dolar kripto çaldığını ve toplam ganimeti 6,75 milyar dolara çıkardığını söylüyor.
- Model, sektörün baskın güvenlik tehdidinin münferit akıllı sözleşme hatalarından ziyade devlet destekli operasyonel savaş olduğunu gösteriyor.
Kelp vurgunu ve neden atıf önemli
LayerZero, 20 Nisan tarihli otopsi raporunda Kelp DAO boşaltmasını bir devlet aktörüne bağladı. Açıklama bunu 2026'nın en büyük DeFi istismarı olarak nitelendirdi ve “muhtemelen DPRK'nin Lazarus Grubu, daha özelde TraderTraitor olan son derece sofistike bir devlet aktörü” ifadesini kullandı.
Mekanizma bir akıllı sözleşme hatası değildi. Saldırganlar, LayerZero'nun Merkeziyetsiz Doğrulayıcı Ağı tarafından kullanılan iki uzak prosedür çağrısı (RPC) düğümünü ele geçirdi, ardından temiz düğümlere bir hizmeti engelleme (DoS) seli yönlendirerek zehirli düğümlere failover zorladı.
Bu da Kelp'in sözde 1-of-1 doğrulayıcı kurulumunu sahte bir zincirler arası mesajı mühür basar hâle getirdi ve köprü 116.500 rsETH'yi saldırgana serbest bıraktı.
Kelp, acil durum çoklu imzası aracılığıyla temel sözleşmeleri yaklaşık 46 dakika sonra duraklattı ve 100 milyon dolar daha değerinde iki ek boşaltma girişimini engelledi.
Kelp, LayerZero'nun çerçevesine kamuoyu önünde itiraz ederek, tek doğrulayıcılı konfigürasyonun, LayerZero'nun açıkça tavsiyesine meydan okumak değil, kendi belgelenmiş varsayılanını yansıttığını söyledi.
Atıf, bunu yamala-geç olayından başka bir şeye dönüştüren şey. Bir hata bir düzeltmeyi davet eder. Bir devlet aktörü ise kalıcı bir hasmı.
Ayrıca Oku: Why Aave Is Trending Again And What The $577M Daily Volume Means For DeFi
Lazarus aslında kim
FBI, 26 Şubat 2025 tarihli Bybit hırsızlığı uyarısında TraderTraitor kümesini Kuzey Kore'nin devlet siber yapısının içine yerleştirdi ve onu 1,5 milyar dolarlık sanal varlık soygununun doğrudan operatörü olarak adlandırdı.
Reuters'ın 2022'deki haberi ve ABD Hazine Bakanlığı'nın tekrarlanan yaptırımları, Lazarus, Bluenoroff ve Andariel'i Pyongyang'ın birincil askeri istihbarat kurumu olan Keşif Genel Bürosu'na bağladı.
Bu yapı içinde analistler, sık sık personel ve altyapı paylaşan APT38, Hidden Cobra, Diamond Sleet, Jade Sleet, Slow Pisces, TraderTraitor gibi dönen bir takma adlar setini takip ediyor.
Kripto için sonuç çok net.
Bir ihlal “Lazarus”a atfedildiğinde, bu bir bodrum katında oturan bir ergen değildir ve nadiren yalnız bir taşeron olur. Bütçesi, yetkisi ve haftalarla değil yıllarla ölçülen sabır ufku olan bir devlet birimidir.
Bu, neyin inandırıcı bir savunma sayıldığını değiştirir. Aynı zamanda, aklama zincirinin sonunda nihai olarak kimin fayda sağladığını da değiştirir.
Ayrıca Oku: NSA Runs Anthropic's Mythos AI Despite Pentagon's Supply-Chain Risk Label
Sony'den akıllı sözleşmelere
Lazarus kriptoda başlamadı. Kendini 2014 Sony Pictures silici saldırısıyla, ardından 2016 Bangladeş Merkez Bankası SWIFT soygunuyla ve 2017'deki WannaCry ile duyurdu.
Kripto sonraki adımdı ve hızlı geldi.
Güney Kore Ulusal İstihbarat Servisi, Aralık 2022'de Associated Press'e Kuzey Koreli hackerların beş yılda tahmini 1,2 milyar dolar sanal varlık çaldığını söyledi.
Bir BM Uzmanlar Paneli raporu, 2017 ile 2023 arasında yaklaşık 3 milyar dolar değerinde ve Pyongyang'ın kitle imha silahı programlarını besleyen 58 şüpheli DPRK siber saldırısını ortaya çıkardı.
Chainalysis'in son rakamları bu kümülatif çizgiyi daha da yukarı itiyor: bugüne dek tespit edilen DPRK bağlantılı kripto hırsızlığında 6,75 milyar dolar, yalnızca 2025'te alınan 2,02 milyar dolar.
Hikâye eğride yatıyor. Her yıl daha az, ama daha büyük olaylar geliyor. Sektör zenginleşti, hedefler büyüdü ve Lazarus da aynı ölçüde ölçeklendi.
Ayrıca Oku: Bitcoin ETF Demand Fuels $1.4B Weekly Inflow, Second-Best Since January
En büyük Lazarus bağlantılı soygunlar
Hazine, Mart 2022 Ronin Bridge boşaltmasına bağlı cüzdan adresleriyle Lazarus yaptırımlarını güncelledi ve yaklaşık 625 milyon dolarlık kaybı DPRK aktörlerine bağladı.
Kısa bir liste ölçeği gösteriyor:
- Ronin Network, Mart 2022: Axie Infinity yan zincir köprüsünden yaklaşık 625 milyon dolar boşaltıldı, haftalar sonra ABD Hazine Bakanlığı'nın OFAC birimi tarafından Lazarus'a atfedildi.
- Harmony Horizon, Haziran 2022: Yaklaşık 100 milyon dolar çalındı, Ocak 2023'te FBI tarafından resmen Lazarus ve APT38'e bağlandı.
- WazirX, Temmuz 2024: Hint borsasından çoklu imza ihlaliyle yaklaşık 235 milyon dolar kaldırıldı, yaygın biçimde DPRK bağlantılı aktörlere atfedildi.
Sonra dönüm yılı geldi.
DMM Bitcoin, Mayıs 2024'te 4.502,9 Bitcoin (btc) kaybetti, o sırada yaklaşık 308 milyon dolar değerindeydi. FBI, Savunma Bakanlığı ve Japonya Ulusal Polis Teşkilatı, Aralık ayında TraderTraitor bağlantısını doğruladı ve bir cüzdan yazılımı satıcısını ele geçiren, işe alım temalı bir yemle başlayan ve manipüle edilmiş bir çekimle biten saldırıyı tanımladı.
Bybit, Şubat 2025'te zirveydi.
Bir saldırgan, rutin bir soğuk cüzdan transferi sırasında imzalama arayüzünü maskeleyerek yaklaşık 400.000 Ether'i, yani yaklaşık 1,5 milyar doları, bilinmeyen bir adrese yönlendirdi.
Chainalysis, artık bu tek olayı 2025'te sektör genelinde çalınan 3,4 milyar doların 1,5 milyar doları olarak konumlandırıyor. 292 milyon dolarlık Kelp ise en gürültülü değil, son bölüm. Gösteriye ihtiyaç duymayı bıraktığında olgun bir operasyonun nasıl göründüğü bu.
Ayrıca Oku: Strategy Buys $2.5B In Bitcoin, Its Biggest Haul In 16 Months
Lazarus'un oyun kitabı değişti
FBI ve Japonya, ortak DMM Bitcoin tavsiye yazılarında yeni Lazarus şablonunu ayrıntılandırdı. Lazarus'u sadece bir phishing dükkanı olarak gören eski resim artık geçersiz.
Bir hacker, LinkedIn işe alımcısı gibi davrandı. Sahte bir ön işe alım testi, cüzdan yazılımı satıcısı Ginco'da çalışan bir mühendisin kişisel GitHub'ına kötü amaçlı bir Python betiği yerleştirdi. Çalınan oturum çerezleri Ginco'nun dahili sohbetini kilidini açtı ve haftalar sonra meşru bir DMM işlem isteği, uçuş sırasında sessizce yeniden yazıldı.
Bybit'te Safe{Wallet}, kötü amaçlı yazılımla değiştirilmiş imzalama uygulamalarının doğru hedefi gösterirken alttaki akıllı sözleşme mantığını değiştirdiğini doğruladı. Kelp'te LayerZero, saldırganların bir doğrulayıcının güvendiği RPC düğümlerindeki ikilileri değiştirdiğini ve bunları kullanım sonrasında kendini imha edip yerel günlükleri silmek üzere tasarladığını söylüyor.
Ortak nokta şu: Açık genellikle kodda değil. İnsanlar, satıcılar, derleme hatları ve altyapı sağlayıcıları.
Chainalysis ayrıca paralel bir kanal daha işaretledi: DPRK operatörleri, sahte kimliklerle uzaktan BT çalışanı olarak kripto şirketlerine sızıyor, ölçek için bazen Upwork ve Freelancer üzerinden bulunan işbirlikçileri kullanıyor.
Ayrıca Oku: Bitget Unveils Project Ulysses, Offers $3M Interest-Free Credit To 50 Institutional Clients
Lazarus neden kriptoya geri dönmeye devam ediyor
Kuzey Kore'nin motivasyonu ideoloji değil, ekonomik hayatta kalma.
AP ve BM haberleri, kripto hırsızlığını yaptırımlı ekonomi için ikame bir gelir akışı ve balistik füze ile nükleer programlar için doğrudan finansman olarak tutarlı biçimde tanımlıyor.
AP'nin aktardığı ABD'li yetkililer daha da ileri giderek, siber suçun artık Kuzey Kore'nin döviz gelirlerinin neredeyse yarısını oluşturduğunu tahmin ediyor.
Kripto, bu misyon için neredeyse kusursuz bir hedef. İşlemler günler değil dakikalar içinde kesinleşiyor, bu yüzden onları geri çevirecek bir muhabir banka yok. Likidite derin, takma ad kullanımı ucuz ve zincirler arası raylar değeri, herhangi bir yaptırım kurumunun dondurabileceğinden daha hızlı hareket ettiriyor.
Yahoo Finance, LayerZero'nun Kelp zaman çizelgesine atıfla, saldırganın boşaltma sonrasında yaklaşık 74.000 Ether'i konsolide ettiğini ve saldırıdan yaklaşık on saat önce cüzdanlarını Tornado Cash aracılığıyla önceden fonladığını belirtti.
Bir hükümet için bir banka soygunuyla bir köprü soygununu tartarken, köprü kazanıyor. her seferinde.
Also Read: One Company Now Owns 4% Of All Ethereum, Bitmine Adds 101,627 ETH In A Week
Zincir üstü araştırmacıların gerçekte eklediği şey neydi?
Arkham, 21 Şubat 2025 tarihli ödül duyurusunda, takma adlı araştırmacı ZachXBT’yi test işlemleri, bağlantılı cüzdanlar ve zamanlama analizleri üzerinden Bybit saldırısını Lazarus’a bağlayan “kesin kanıt” için kredilendirdi.
Beş gün sonra, FBI’ın kamuoyu duyurusu, TraderTraitor etiketini kullanarak ve cüzdan kara listeleri yayımlayarak resmen Kuzey Kore’yi işaret etti.
Sıra önemli. ZachXBT gibi zincir üstü dedektifler, sık sık büyük ihlalleri Lazarus bağlantılı cüzdanlar ve aklama kalıplarıyla ilk kez kamuya bağlayanlar arasında yer aldı; bazen resmî teyitten önce.
Onlar hakikatin asıl kaynağı değiller. Federal kurumlar daha yavaş, delil niteliğinde süreçler yürütürken, borsaların vereceği tepkiyi hızlandıran erken bir kamusal atıf katmanı oluşturuyorlar.
Bu iş bölümü yeni. Aynı zamanda da yük taşıyan bir unsur, çünkü çalınan fonlar zincirler arasında sıçramaya başladığında geriye tek bir soru kalıyor: adresler ne kadar hızlı işaretlenecek?
Also Read: RaveDAO Jumps 62% In A Day, But Volume Now Exceeds Its Entire Market Cap
Sektör bu mücadeleleri hâlâ neden kaybediyor?
Kripto güvenliği tartışmalarının çoğu hâlâ kod denetimleri etrafında dönüyor. Lazarus kod denetimlerini umursamıyor.
Gerçekte önemli olan saldırı yüzeyi operasyonel. Üçüncü taraf imzalama araçları, cüzdan sağlayıcıları, node altyapısı, işe alım kanalları, derleme sistemleri ve ayrıcalıklı erişime sahip birkaç kişiyi kapsıyor. Bunların her biri, son iki yılda en az bir Lazarus bağlantılı ihlalde faal durumdaydı.
Chainalysis, çalıntı paranın aklanma döngüsünün karıştırıcılar, zincirler arası köprüler ve Çince konuşulan OTC ağları üzerinden iyileştirilmiş, yaklaşık 45 günlük, üç dalgalı bir kalıba oturduğunu bildiriyor; izlemeyi tetiklememek için dilimler çoğu zaman 500.000 doların altında tutularak taşınıyor.
Sektörün tepkisi parçalı kalıyor. Borsalar farklı hızlarda kara liste uyguluyor. Bazı DeFi protokolleri duraklıyor, diğerleri duraklamıyor.
Olay sonrası yapılan bir Dune analizi, aktif LayerZero OApp’lerinin %47’sinin hâlâ 1-of-1 DVN kurulumlarıyla çalıştığını ortaya koydu.
Savunmacının her hafta kazanması gerekiyor. Lazarus’un ise üç ayda bir kazanması yeterli.
Also Read: LayerZero, Aave, Monad All Sliding: What's Driving The DeFi Pullback Tonight
Kelp, bir sonraki aşama hakkında ne söylüyor?
Kelp’ten çıkarılması gereken rahatsız edici sonuç, Bybit sonrasında bile kod güvenliği ile operasyonel güvenlik arasındaki farkın hâlâ geniş olması.
Bybit, arkasında 20 milyar dolarlık bilançonun bulunduğu bir imzalama arayüzü kompromitasyonuydu. Kelp ise orta ölçekli, likit bir restaking protokolüne karşı altyapı katmanı kompromitasyonuydu.
Aynı aktör kümesi, farklı saldırı vektörü; DPRK operatörleriyle bağlantılı yaklaşık 285 milyon dolarlık Drift Protocol boşaltmasından sadece on sekiz gün sonra.
Bu tempo asıl nokta. Lazarus, oyun kitabını DeFi ekiplerinin bağımlılıklarını sertleştirme hızından daha hızlı iterasyonluyor ve her başarılı darbe bir sonraki işe alım, araç geliştirme ve sabır turunu finanse ediyor.
The Hacker News, DPRK bağlantılı aktörlerin 2025 yılında küresel ölçekte çalınan tüm kriptonun %59’undan sorumlu olduğunu bildirdi; bu da bu hasmın sektörel kayıplar açısından ne kadar merkezi hale geldiğini gösteriyor.
Tek doğrulayıcı yapılandırmaları, denetlenmemiş node operatörleri ve paylaşılan cüzdan yazılımları gibi yapılandırma tercihleri artık küçük risk kalemleri değil. Hasmın bir devlet olduğu bir dünyada bunlar başlı başına ana olay.
Also Read: C1 Fund Books 150% Return On Ripple Investment In Less Than Four Months
Sonuç
Lazarus, kriptonun en büyük güvenlik açıklarının artık aynı anda jeopolitik, finansal ve altyapısal olduğunun kanıt noktası.
Ronin, Harmony, WazirX, DMM Bitcoin, Bybit ve şimdi Kelp, birbirinden bağımsız kazalar listesi oluşturmuyor. Yaptırım altındaki bir hükümet tarafından, kalıcı bir ulus-devlet hasmının neye benzediğini hâlâ hafife alan bir sektöre karşı yürütülen bir kampanya oluşturuyorlar.
Bir sonraki Kelp zaten planlanıyor. Soru, sektörün bunu bir hata raporu mu yoksa bir cephe hattı mı olarak ele alacağı.
Read Next: Crypto Futures Wipeout: $197M Liquidated As BTC Climbs Above $76K
SSS
Kelp DAO saldırısında ne oldu?
18 Nisan 2026’da saldırganlar, Kelp DAO’nun işlettiği bir zincirler arası köprüden yaklaşık 292 milyon dolar değerinde 116.500 rsETH çekti. İstismar bir akıllı sözleşme hatasını hedeflemedi. Bunun yerine, saldırganlar LayerZero’nun Merkeziyetsiz Doğrulayıcı Ağı tarafından kullanılan iki remote procedure call (RPC) node’unu ele geçirip, bir kesintiye zorlayarak zehirlenmiş node’un sahte bir zincirler arası mesajı damgalamasını sağladı. Kelp’in acil durum multisig’i, 46 dakika sonra çekirdek sözleşmeleri duraklatarak toplamda 100 milyon dolar daha değerindeki iki ek boşaltma girişimini engelledi.
Lazarus Grubu kimdir?
Lazarus, Kuzey Kore devleti bağlantılı siber aktörler için kullanılan şemsiye etiket; ABD Hazine Bakanlığı ve FBI tarafından Pyongyang’ın birincil askerî istihbarat kurumu olan Keşif Genel Bürosu’yla ilişkilendirilir. Analistler, TraderTraitor, APT38, Bluenoroff, Andariel, Hidden Cobra, Diamond Sleet, Jade Sleet ve Slow Pisces dâhil olmak üzere aynı şemsiye altında çeşitli alt kümeleri ve takma adları takip eder. Bu kümeler çoğu zaman altyapı ve personel paylaşır.
LayerZero, Kelp istismarını neden Lazarus’a atfetti?
LayerZero’nun olay sonrası raporu, saldırganın teknik becerisini ve cüzdan davranışını özellikle Lazarus’un TraderTraitor alt birimine özgü bir devlet aktörü imzası olarak işaret etti. Saldırıdan yaklaşık on saat önce Tornado Cash üzerinden ön fonlama, ele geçirilen altyapıda kendi kendini imha eden binary’lerin kullanımı ve boşaltma sonrası yaklaşık 74.000 Ether’in konsolidasyonu; daha önce DPRK bağlantılı istismarlarda belgelenen kalıplarla örtüşüyor.
Kuzey Kore toplamda ne kadar kripto çaldı?
Chainalysis, bugüne kadar DPRK bağlantılı 6,75 milyar dolarlık kripto hırsızlığı tespit ediyor. Bunun 2,02 milyar doları yalnızca 2025’te çalındı ve bu tutar, o yıl küresel ölçekte çalınan tüm kriptonun yaklaşık %59’una karşılık geliyor. Güney Kore Ulusal İstihbarat Servisi’nin önceki raporlaması, 2018–2022 arasındaki beş yıllık toplamı yaklaşık 1,2 milyar dolar olarak verirken, bir BM Uzmanlar Paneli 2017–2023 arasında yaklaşık 3 milyar dolar tutarında 58 şüpheli DPRK siber saldırısını inceledi.
TraderTraitor nedir?
TraderTraitor, kripto sektörü hedeflerinde uzmanlaşmış bir Lazarus alt kümesidir. İmza hamlesi; genellikle LinkedIn üzerinden sahte işe alım teklifleri, kötü amaçlı yazılımla bulaştırılmış işe alım öncesi testler ve cüzdan yazılım sağlayıcılarının ya da imzalama altyapısının kompromitasyonu yoluyla, teknik personele yönelik sosyal mühendisliktir. FBI, Savunma Bakanlığı ve Japonya Ulusal Polis Teşkilatı, 308 milyon dolarlık DMM Bitcoin hırsızlığında TraderTraitor’u resmen adlandırdı; FBI daha sonra 1,5 milyar dolarlık Bybit soygununun operatörü olarak da aynı kümeyi işaret etti.
Lazarus bağlantılı en büyük kripto saldırıları hangileri?
Kamuya atfedilmiş en büyük olaylar arasında, Mart 2022’de yaklaşık 625 milyon dolarlık Ronin Network, Haziran 2022’de yaklaşık 100 milyon dolarlık Harmony Horizon, Temmuz 2024’te yaklaşık 235 milyon dolarlık WazirX, Mayıs 2024’te yaklaşık 308 milyon dolarlık DMM Bitcoin, Şubat 2025’te yaklaşık 1,5 milyar dolarlık Bybit ve Nisan 2026’da yaklaşık 292 milyon dolarlık Kelp DAO yer alıyor.
Lazarus çaldığı kriptoyu nasıl aklıyor?
Chainalysis, iyileştirilmiş, yaklaşık 45 günlük, üç dalgalı bir aklama döngüsü tanımlıyor. Çalınan fonlar karıştırıcılardan, zincirler arası köprülerden ve Çince konuşulan OTC ağlarından geçiriliyor; izleme eşiklerini tetiklememek için genellikle 500.000 doların altında tutulan dilimlere bölünüyor. Amaç, fonlar nakde çevrilecek kanallara ulaşmadan önce borsa kara listelerini ve zincir üstü analitiği geride bırakmak.
Kuzey Kore neden kriptoyu hedef alıyor?
Kripto hırsızlığı, Pyongyang’ın izole ekonomisi için bir yaptırım aşma gelir akışı ve aynı zamanda balistik füze ve nükleer programlarının doğrudan finansman kanalı işlevi görüyor; bu, BM Uzmanlar Paneli raporları ve AP’nin aktardığı ABD’li yetkililer tarafından dile getiriliyor. ABD tahminlerine göre siber suç, artık Kuzey Kore’nin döviz kazancının neredeyse yarısını oluşturuyor. İşlemler dakikalar içinde kesinleştiği ve muhabir bankalar tarafından geri alınamadığı için kripto rayları bu misyon için uygun.
ZachXBT kimdir ve ne rol oynadı?
ZachXBT, kamusal atıf çalışmaları sıklıkla resmî hükümet teyidinden önce gelen takma adlı bir zincir üstü araştırmacı. Bybit vakasında, Arkham’ın 21 Şubat 2025 tarihli ödül duyurusu, istismarı Lazarus’a bağlayan işlem korelasyon analizini ona atfetti; bu, FBI’ın Kuzey Kore’yi resmen adlandırmasından beş gün önceydi. ZachXBT gibi zincir üstü dedektifler, federal soruşturmacıların yerine değil ama borsa düzeyindeki tepki için daha hızlı işleyen, erken bir kamusal atıf katmanı oluşturuyor.
Kripto sektörü Lazarus’u durdurabilir mi?
Tek başına kod denetimleriyle değil. Önemli saldırı yüzeyi; üçüncü taraf imzalama araçları, cüzdan sağlayıcıları, node altyapısı, işe alım kanalları ve derleme sistemleri dâhil operasyonel katman. Kelp olayının ardından yapılan bir Dune analizi, aktif LayerZero OApp’lerinin %47’sinin hâlâ Kelp istismarını mümkün kılan tam olarak aynı yapılandırma olan 1-of-1 doğrulayıcı kurulumlarını kullandığını ortaya koydu. Tedarikçiler, altyapı sağlayıcıları ve insan erişimi genelinde bu katmanın sertleştirilmesi, savunma açısından asıl kazanımların toplandığı yer.
Kelp DAO şu anda kullanmak için güvenli mi?
Kelp, acil durum mekanizması aracılığıyla çekirdek sözleşmeleri duraklattı.multisig, tespitten sonra 46 dakika içinde devreye alınarak iki ek boşaltma girişimini engelledi. Kullanıcılar, faaliyete devam etmeden önce Kelp'in ve LayerZero'nun resmi olay (incident) kanallarını kontrol ederek mevcut sözleşme durumunu, olası kurtarma veya geri ödeme programlarını ve güncellenmiş doğrulayıcı yapılandırmalarını incelemelidir.
Lazarus ile TraderTraitor arasındaki fark nedir?
Lazarus, şemsiye yapıdır. TraderTraitor, bu şemsiyenin altında, kripto endüstrisi hedeflerine odaklanan ve mühendisler ile cüzdan yazılımı sağlayıcılarına karşı sosyal mühendislik saldırılarıyla tanınan uzmanlaşmış bir alt kümedir. FBI bir saldırıyı özellikle TraderTraitor’a atfettiğinde, yalnızca daha geniş devlet bağlantılı ekosistemi değil, operasyonel birimi isimlendirmiş olur.