ESET araştırmacıları, Kuzey Kore bağlantılı ScarCruft (APT37) casusluk grubunun, Çin'deki Yanbian Korelilerine hizmet veren bir oyun platformunu hedef alan bir tedarik zinciri saldırısı düzenlediğini ortaya çıkardı. sqgame[.]net adlı site, Yanbian temalı kart ve masa oyunları sunuyor. Saldırganlar, site üzerinde barındırılan Windows ve Android yazılımlarını, daha önce belgelenmemiş bir mobil arka kapı ile trojanize etti. Saldırının 2024 sonlarından beri aktif olduğu değerlendiriliyor.
Yanbian Kore Özerk Bölgesi, Kuzey Kore sınırında yer alıyor ve mülteciler ile kaçaklar için bilinen bir geçiş noktası. ESET, bu operasyonun Pyongyang rejimi için ilgi çekici kişiler hakkında istihbarat toplamayı amaçladığını belirtiyor. ScarCruft, 2012'den beri aktif olan ve Güney Kore hükümeti, askeri ve sığınmacıları hedef alan bir grup.
Android tarafında, Yanbian Red Ten ve New Drawing oyunlarının APK'ları trojanize edilmişti. Windows'ta ise masaüstü istemci güncellemesi, Kasım 2024'ten beri trojanize mono.dll kütüphanesi sunuyordu. Bu kütüphane, anti-analiz kontrollerinin ardından RokRAT arka kapısını ve daha gelişmiş BirdCall implantını indiriyordu. iOS sürümü etkilenmemişti.
Sistem Güvenliği
BirdCall'un Android versiyonu (zhuagou), Ekim 2024 ile Haziran 2025 arasında yedi farklı sürümle geliştirildi. Zararlı yazılım, kişiler, arama kayıtları, SMS, belgeler, medya dosyaları ve özel anahtarları toplarken, ekran görüntüsü alma ve ortam sesi kaydetme yeteneklerine sahipti. Komut ve kontrol trafiği, Zoho WorkDrive gibi bulut depolama hizmetleri üzerinden yönlendiriliyordu. ESET, Aralık 2025'te siteyi uyarmış ancak yanıt alamamıştır.