Kuzey Koreli APT, Truva Atılaştırılmış Platform Aracılığıyla Yanbian Oyuncularını Hedef Alıyor Siber Güvenlik

Kuzey Koreli APT, Truva Atılaştırılmış Platform Aracılığıyla Yanbian Oyuncularını Hedef Alıyor

Kuzey Kore bağlantılı bir casusluk grubu, Çin'deki etnik Korelilere hizmet veren bölgesel bir oyun platformunu tehlikeye attı. Sitede barındırılan Win...

Kuzey Kore bağlantılı bir casusluk grubu, Çin'deki etnik Korelilere hizmet veren bölgesel bir oyun platformunu tehlikeye attı. Sitede barındırılan Windows ve Android yazılımı, daha önce belgelenmemiş bir mobil arka kapıyla truva atına maruz bırakıldı.

ESET araştırmacılarının yeni analizlerine göre, tedarik zinciri operasyonu muhtemelen 2024'ün sonlarından bu yana yürütülüyor ve geleneksel Yanbian temalı kart ve masa oyunlarına adanmış bir site olan sqgame[.]net kullanıcılarını hedefliyor.

Yanbian Kore Özerk Bölgesi, Kuzey Kore ile sınır komşusu olan ve mülteciler ve iltica edenler için bilinen bir geçiş noktası görevi gören bir bölgedir.

ESET, faaliyetin Pyongyang rejimiyle ilgilenen kişiler hakkında istihbarat toplamayı amaçladığını değerlendirdi.

Sistem Güvenliği

Bölgesel Bir Oyun Sitesinin Çok Platformlu Uzlaşması

Teknik Analiz

ESET, kampanyayı APT37, Reaper ve Ricochet Chollima olarak da bilinen ScarCruft'a bağladı; bu grup, en az 2012'den beri aktif olan ve tarihsel olarak Güney Kore hükümeti, askeri ve sığınmacılarla ilgili hedeflere odaklanan bir casusluk grubuydu.

Soruşturma, VirusTotal'a yüklenen şüpheli bir APK ile başladı ve araştırmacılar, bunun doğrudan sqgame web sitesinden dağıtılan Yanbian Red Ten adlı bir kart oyununa kadar izini sürdü. Aynı platformda barındırılan ikinci bir Android oyunu olan New Drawing'in de aynı zararlı kodu taşıdığı tespit edildi.

Sonuç ve Değerlendirme

Windows'ta telemetri, masaüstü istemcisine yönelik bir güncelleme paketinin en az Kasım 2024'ten bu yana truva atı haline getirilmiş bir mono.dll kitaplığına hizmet ettiğini gösterdi. Yamalı kitaplık, daha sonra daha karmaşık BirdCall implantını dağıtmak için kullanılan RokRAT arka kapısını içeren kabuk kodunu getirmeden önce bir indirici görevi görerek anti-analiz kontrolleri gerçekleştirdi.

Aynı sitedeki iOS oyununa dokunulmamıştı ve ESET, bunun muhtemelen Apple'ın inceleme sürecinden kaçmanın zorluğunu yansıttığını söyledi.

Gelecekte Ne Bekleniyor?

ScarCruft etkinliği hakkında daha fazlasını okuyun: Kuzey Kore'nin APT37'si Hava Boşluklu Ağları Aşmak İçin Araç Setini Genişletiyor

Önemli Gelişmeler

Bilinen Windows Arka Kapısının Yeni Bir Android Versiyonu

BirdCall, ESET tarafından ilk kez 2021 yılında bir Windows arka kapısı olarak tanımlandı. Dahili olarak zhuagou olarak adlandırılan Android bağlantı noktası, önceki modelin yeteneklerinin bir alt kümesini uyguladı ve Ekim 2024 ile Haziran 2025 arasında yedi sürümde aktif geliştirme gördü.

ESET, operatörlerin kaynak koduna erişim sağlamak yerine meşru oyun APK'larını kötü amaçlı kodla yeniden derlediğini veya yeniden paketlediğini, orijinal oyun etkinliğini başlatmadan önce giriş noktasını arka kapıdan yeniden yönlendirmek için AndroidManifest.xml dosyasını değiştirdiğini söyledi.

Uzmanların Görüşleri

Kötü amaçlı yazılım çalıştırıldıktan sonra kişileri, arama kayıtlarını, SMS mesajlarını, belgeleri, medya dosyalarını ve özel anahtarları topladı. Ayrıca araştırmacılar, kayıt fonksiyonunun yerel saatle 19:00 ile 22:00 arasındaki üç saatlik bir pencereyle sınırlı olduğunu belirtmesine rağmen, ekran görüntüleri yakalayabiliyor ve ortam sesini kaydedebiliyordu.

Komuta ve kontrol (C2) trafiği, pCloud, Yandex Disk ve Zoho WorkDrive dahil olmak üzere bulut depolama sağlayıcıları aracılığıyla yönlendirildi, ancak ESET bu kampanyada yalnızca Zoho WorkDrive'ın kullanıldığını gözlemledi ve soruşturma sırasında 12 ayrı hesap belirlendi.

Detaylar ve Etkileri

Siber güvenlik şirketi, güvenlik açığını Aralık 2025'te sqgame'e bildirdi ancak yayınlandığı sırada herhangi bir yanıt alamadı ve kötü amaçlı APK'lar sitede mevcut olmaya devam ediyor.

Paylaş: