Kuzey Koreli APT37, Çin'deki Etnik Koreli Oyuncuları Hedef Alan Tedarik Zinciri Saldırısı Düzenledi Yazılım

Kuzey Koreli APT37, Çin'deki Etnik Koreli Oyuncuları Hedef Alan Tedarik Zinciri Saldırısı Düzenledi

Kuzey Kore bağlantılı APT37 grubu, Çin'deki Yanbian bölgesinde etnik Korelilere hizmet veren bir oyun platformunu ele geçirerek Windows ve Android oyu

Kuzey Kore ile bağlantılı bir siber casusluk grubu, Çin'de yaşayan etnik Korelilere yönelik bir bölgesel oyun platformunu ele geçirdi. ESET araştırmacılarının yeni analizine göre, Yanbian temalı geleneksel kart ve masa oyunları sunan sqgame[.]net sitesi, 2024'ün sonlarından beri süren bir tedarik zinciri saldırısına maruz kaldı. Saldırganlar, sitede barındırılan Windows ve Android yazılımlarına daha önce belgelenmemiş bir mobil backdoor yerleştirdi.

ESET, bu faaliyeti ScarCruft (diğer adlarıyla APT37, Reaper, Ricochet Chollima) grubuna atfediyor. En az 2012'den beri aktif olan bu grup, geçmişte Güney Kore hükümeti, askeri ve sığınmacılarla ilgili hedeflere odaklanmıştı. Yanbian Kore Özerk İli, Kuzey Kore sınırında yer alıyor ve mülteciler ile sığınmacılar için geçiş noktası olarak biliniyor. ESET, saldırının Pyongyang rejimi için ilgi çekici kişiler hakkında istihbarat toplamayı amaçladığını değerlendiriyor.

Araştırma, VirusTotal'a yüklenen şüpheli bir APK ile başladı. Araştırmacılar bunu, sqgame web sitesinden dağıtılan Yanbian Red Ten adlı bir kart oyununa kadar takip etti. Aynı platformda barındırılan bir diğer Android oyunu New Drawing de aynı kötü amaçlı kodu taşıyordu. Windows tarafında ise, masaüstü istemcisi için bir güncelleme paketinin en az Kasım 2024'ten beri trojanize edilmiş bir mono.dll kütüphanesi sunduğu tespit edildi. Bu kütüphane, anti-analiz kontrolleri yaparak RokRAT backdoor'unu içeren shellcode'u indiren bir indirici olarak çalışıyordu.

Teknik Analiz

ESET, iOS oyununun dokunulmamış olduğunu belirtti ve bunun Apple'ın inceleme sürecinden kaçmanın zorluğundan kaynaklandığını düşünüyor. BirdCall adlı backdoor, ilk olarak 2021'de Windows için tanımlanmıştı. Android sürümü ise zhuagou iç adını taşıyor ve öncekinin yeteneklerinin bir alt kümesini uyguluyor. Ekim 2024 ile Haziran 2025 arasında yedi farklı sürümle aktif geliştirme gösterdi. ESET, operatörlerin kaynak koduna erişmek yerine meşru oyun APK'larını kötü amaçlı kodla yeniden derlediğini veya paketlediğini, AndroidManifest.xml dosyasını değiştirerek giriş noktasını backdoor üzerinden yönlendirdiğini belirtiyor.

Nasıl Önlem Alınmalı?

Kötü amaçlı yazılım çalıştığında, kişiler, arama kayıtları, SMS mesajları, belgeler, medya dosyaları ve özel anahtarları topluyor. Ayrıca ekran görüntüsü alabiliyor ve ortam sesini kaydedebiliyor. Ancak araştırmacılar, ses kaydı fonksiyonunun yerel saatle 19:00-22:00 arasındaki üç saatlik bir pencereyle sınırlı olduğunu belirtti. Komuta ve kontrol (C2) trafiği, pCloud, Yandex Disk ve Zoho WorkDrive gibi bulut depolama sağlayıcıları üzerinden yönlendiriliyordu. ESET, bu kampanyada sadece Zoho WorkDrive'ın kullanıldığını ve soruşturma sırasında 12 ayrı hesap tespit edildiğini gözlemledi.

Gelecekte Ne Bekleniyor?

ESET, Aralık 2025'te sqgame'i ihlal konusunda bilgilendirdi ancak yayın anında herhangi bir yanıt alınmadı ve kötü amaçlı APK'lar sitede erişilebilir durumda. Bu saldırı, tedarik zinciri güvenliğinin önemini bir kez daha ortaya koyuyor. Özellikle azınlık gruplarına yönelik bölgesel platformlar, hedef odaklı casusluk faaliyetleri için cazip hedefler olmaya devam ediyor. Kullanıcıların, resmi olmayan kaynaklardan oyun indirmemeleri ve güvenlik yazılımlarını güncel tutmaları öneriliyor.

Kaynak: infosecurity-magazine.com

Paylaş: