Kuzey Koreli APT Grubu, Çin'deki Yanbian Oyun Platformuna Sızdı Windows

Kuzey Koreli APT Grubu, Çin'deki Yanbian Oyun Platformuna Sızdı

Kuzey Kore bağlantılı ScarCruft grubu, Çin'deki Yanbian Kore Özerk Bölgesi'ndeki etnik Korelilere yönelik bir oyun platformunu hedef aldı.

Kuzey Kore bağlantılı bir casusluk grubu, Çin'de yaşayan etnik Korelilere hizmet veren bir bölgesel oyun platformunu ele geçirdi. ESET araştırmacılarının yeni analizine göre, tedarik zinciri saldırısı 2024 sonlarından beri devam ediyor ve sqgame[.]net sitesindeki geleneksel Yanbian temalı kart ve masa oyunları oynayan kullanıcıları hedef alıyor. Sitede barındırılan Windows ve Android yazılımlarına, daha önce belgelenmemiş bir mobil arka kapı içeren trojanize edilmiş sürümler yerleştirildi.

Saldırı, Yanbian Kore Özerk Bölgesi'nin Kuzey Kore sınırında yer alması ve mülteci ile kaçak geçişler için bilinen bir nokta olmasıyla bağlantılı. ESET, faaliyetin Pyongyang rejimi için önem taşıyan bireyler hakkında istihbarat toplamayı amaçladığını değerlendirdi. Kampanya, daha önce Güney Kore hükümeti, ordu ve sığınmacılarla ilgili hedeflere odaklanan ScarCruft (APT37) grubuna atfedildi.

Araştırmacılar, VirusTotal'a yüklenen şüpheli bir APK dosyasını inceledikten sonra Yanbian Red Ten adlı kart oyununun doğrudan sqgame sitesinden dağıtıldığını tespit etti. Aynı platformdaki bir diğer Android oyunu New Drawing de aynı kötü amaçlı kodu taşıyordu. Windows tarafında ise, masaüstü istemcisi için bir güncelleme paketinin en az Kasım 2024'ten beri trojanize edilmiş bir mono.dll kütüphanesi sunduğu görüldü. Bu kütüphane, anti-analiz kontrollerini geçtikten sonra RokRAT arka kapısını içeren shellcode'u indiren bir downloader olarak çalışıyordu.

Teknik Analiz

ESET, Android için port edilen arka kapıya 'zhuagou' adını verdi ve bu yazılımın Ekim 2024 ile Haziran 2025 arasında yedi farklı versiyonda aktif geliştirme gördüğünü belirtti. Kötü amaçlı yazılım, kişiler, arama kayıtları, SMS'ler, belgeler, medya dosyaları ve özel anahtarlar gibi hassas verileri toplarken, ekran görüntüsü alma ve ortam sesi kaydetme yeteneklerine de sahipti. ESET, Aralık 2025'te durumu sqgame'e bildirdi ancak yayın anında herhangi bir yanıt alınamadı ve kötü amaçlı APK'ler sitede hâlâ mevcut.

Paylaş: