Kuzey Koreli APT, Yanbianlı Oyuncuları Hedef Alan Truva Atılı Platform Siber Güvenlik

Kuzey Koreli APT, Yanbianlı Oyuncuları Hedef Alan Truva Atılı Platform

Kuzey Kore bağlantılı ScarCruft grubu, Yanbian Kore Özerk Bölgesi'ndeki etnik Korelilere hizmet veren bir oyun platformunu ele geçirdi. Windows ve And

Kuzey Kore bağlantılı bir casusluk grubu, Çin'deki etnik Korelilere hizmet veren bölgesel bir oyun platformunu ele geçirdi. Sitede barındırılan Windows ve Android yazılımlarına, daha önce belgelenmemiş bir mobil arka kapı ile truva atı yerleştirildi. ESET araştırmacılarının yeni analizine göre, tedarik zinciri operasyonu muhtemelen 2024'ün sonlarından beri devam ediyor ve Yanbian temalı geleneksel kart ve tahta oyunlarına adanmış sqgame[.]net sitesinin kullanıcılarını hedef alıyor. Yanbian Kore Özerk Bölgesi, Kuzey Kore sınırında yer alıyor ve mülteciler ile sığınmacılar için bilinen bir geçiş noktası.

ESET, bu kampanyayı daha önce ScarCruft, APT37, Reaper ve Ricochet Chollima olarak da bilinen bir casusluk grubuna atfetti. Grup en az 2012'den beri aktiftir ve tarihsel olarak Güney Kore hükümeti, askeri ve sığınmacılarla ilgili hedeflere odaklanmıştır. Soruşturma, VirusTotal'a yüklenen şüpheli bir APK ile başladı. Araştırmacılar bu APK'yı, doğrudan sqgame web sitesinden dağıtılan Yanbian Red Ten adlı bir kart oyununa kadar izledi. Aynı platformda barındırılan New Drawing adlı ikinci bir Android oyununda da aynı kötü amaçlı kod bulundu.

Windows tarafında, telemetri verileri masaüstü istemcisi için bir güncelleme paketinin en az Kasım 2024'ten beri truva atı eklenmiş bir mono.dll kütüphanesi sunduğunu gösterdi. Yamalı kütüphane, anti-analiz kontrolleri yaptıktan sonra RokRAT arka kapısını içeren shellcode'u getiren bir indirici olarak çalışıyordu. Daha sonra bu arka kapı, daha gelişmiş BirdCall implantını dağıtmak için kullanıldı. iOS oyunu ise dokunulmamıştı; ESET, bunun Apple'ın inceleme sürecini atlatmanın zorluğunu yansıttığını söyledi.

BirdCall, ilk olarak 2021'de ESET tarafından bir Windows arka kapısı olarak tespit edilmişti. Android sürümü (iç adıyla zhuagou), öncekinin yeteneklerinin bir alt kümesini uyguluyordu ve Ekim 2024 ile Haziran 2025 arasında yedi farklı sürümle aktif olarak geliştirildi. ESET, operatörlerin kaynak koduna erişmek yerine meşru oyun APK'lerini kötü amaçlı kodla yeniden derlediğini veya yeniden paketlediğini, AndroidManifest.xml'i değiştirerek giriş noktasını arka kapıya yönlendirdikten sonra orijinal oyun etkinliğini başlattığını söyledi. Kötü amaçlı yazılım, kişiler, arama kayıtları, SMS mesajları, belgeler, medya dosyaları ve özel anahtarları topluyordu. Ayrıca ekran görüntüleri alabiliyor ve ortam sesini kaydedebiliyordu, ancak araştırmacılar kayıt işlevinin yerel saatle 19:00-22:00 arasında üç saatlik bir pencereyle sınırlı olduğunu belirtti. Komuta ve kontrol trafiği, pCloud, Yandex Disk ve Zoho WorkDrive gibi bulut depolama sağlayıcıları üzerinden yönlendiriliyordu; ancak ESET, bu kampanyada yalnızca Zoho WorkDrive'ın kullanıldığını ve soruşturma sırasında 12 ayrı hesap tespit edildiğini bildirdi. ESET, Aralık 2025'te sqgame'i tehlike konusunda bilgilendirdi ancak yayın anına kadar yanıt alamadı ve kötü amaçlı APK'ler sitede hâlâ mevcut.

Paylaş: