Kuzey Kore ile bağlantılı bir siber casusluk grubu, Çin'deki etnik Korelilere hizmet veren bölgesel bir oyun platformunu hedef alan tedarik zinciri saldırısı düzenledi. ESET araştırmacılarının yeni analizine göre, sqgame[.]net adlı site üzerinden dağıtılan Windows ve Android oyun yazılımları, daha önce bilinmeyen bir mobil backdoor ile trojanize edildi. Saldırının 2024 sonlarından beri aktif olduğu ve Pyongyang rejimi için ilgi çekici bireyler hakkında istihbarat toplamayı amaçladığı değerlendiriliyor.
Yanbian Kore Özerk Bölgesi, Kuzey Kore'ye sınırı olan ve mülteciler ile kaçaklar için bilinen bir geçiş noktası olarak öne çıkıyor. ESET, saldırıyı daha önce Güney Kore hükümeti, ordu ve kaçak bağlantılı hedeflere odaklanmış olan ScarCruft (APT37, Reaper, Ricochet Chollima) grubuna atfetti. Grup en az 2012'den beri aktiftir.
Soruşturma, VirusTotal'a yüklenen şüpheli bir APK ile başladı. Araştırmacılar bu APK'yı sqgame web sitesinden dağıtılan Yanbian Red Ten adlı bir kart oyununa kadar takip etti. Aynı platformda barındırılan başka bir Android oyunu olan New Drawing'in de aynı kötü amaçlı kodu taşıdığı tespit edildi. Windows tarafında ise, telemetri verileri en az Kasım 2024'ten beri masaüstü istemcisi için bir güncelleme paketinin trojanize edilmiş mono.dll kütüphanesi sunduğunu gösterdi. Bu yamalı kütüphane, anti-analiz kontrolleri yaptıktan sonra RokRAT backdoor'unu içeren shellcode'u getiren bir indirici olarak çalışıyordu. RokRAT ise daha gelişmiş BirdCall implantını dağıtmak için kullanılıyordu.
Teknik Analiz
Aynı sitedeki iOS oyunu ise dokunulmamıştı. ESET, bunun Apple'ın inceleme sürecini atlatmanın zorluğundan kaynaklandığını belirtti. Bu durum, saldırganların hedef platformlara göre farklı stratejiler izlediğini gösteriyor.
Uzmanların Görüşleri
BirdCall, ilk olarak ESET tarafından 2021'de bir Windows backdoor'u olarak tanımlanmıştı. Android sürümü (iç adı: zhuagou), selefinin yeteneklerinin bir alt kümesini uyguluyor ve Ekim 2024 ile Haziran 2025 arasında yedi farklı sürümle aktif geliştirme gördü. ESET, operatörlerin kaynak koduna erişmek yerine meşru oyun APK'larını kötü amaçlı kodla yeniden derlediğini veya paketlediğini, AndroidManifest.xml dosyasını değiştirerek giriş noktasını backdoor üzerinden yönlendirdikten sonra orijinal oyun etkinliğini başlattığını söyledi.
Çalıştırıldığında kötü amaçlı yazılım, kişiler, arama kayıtları, SMS mesajları, belgeler, medya dosyaları ve özel anahtarları topladı. Ayrıca ekran görüntüsü alabiliyor ve ortam sesini kaydedebiliyordu. Ancak araştırmacılar, kayıt işlevinin yerel saatle 19:00-22:00 arasında üç saatlik bir pencereyle sınırlı olduğunu belirtti. Komuta ve kontrol (C2) trafiği, pCloud, Yandex Disk ve Zoho WorkDrive gibi bulut depolama sağlayıcıları üzerinden yönlendiriliyordu. ESET, bu kampanyada yalnızca Zoho WorkDrive'ın kullanıldığını ve soruşturma sırasında 12 ayrı hesap tespit edildiğini gözlemledi. ESET, Aralık 2025'te sqgame'i ihlal konusunda bilgilendirdi ancak yayın anına kadar yanıt alamadı ve kötü amaçlı APK'lar sitede erişilebilir durumda kaldı.
Kaynak: infosecurity-magazine.com