Siber güvenlik şirketi ESET’in bulgularına göre, Kuzey Kore bağlantılı APT grubu ScarCruft, tedarik zinciri casusluk saldırısı kapsamında bir oyun platformunu ele geçirdi. Kampanya ile amaçlanan casusluk; arka kapı, kişisel verileri ve belgeleri toplamak, ekran görüntüleri almak ve ses kayıtları yapmak. Saldırının, Kuzey Kore rejimi tarafından ilgi çekici görülen kişiler, büyük olasılıkla mülteciler veya kaçaklar hakkında bilgi toplamayı amaçladığı düşünülüyor.
ESET araştırmacıları, Kuzey Kore ile bağlantılı APT grubu ScarCruft tarafından Çin’in Yanbian bölgesini hedef alan çok platformlu bir tedarik zinciri saldırısı ortaya çıkardı. Yanbian, etnik Korelilerin yaşadığı ve Kuzey Koreli mülteciler ile kaçakların geçiş noktası olan bir bölge. 2024 yılı sonlarından beri devam ettiği düşünülen saldırıda ScarCruft, Yanbian temalı oyunlara adanmış bir video oyun platformunun Windows ve Android bileşenlerini ele geçirerek bunları bir arka kapı ile trojanlaştırdı. ESET tarafından BirdCall olarak adlandırılan bu arka kapının başlangıçta yalnızca Windows’u hedeflediği biliniyordu; Android sürümü ise daha sonra bu tedarik zinciri saldırısının bir parçası olarak keşfedildi.
Son saldırıda keşfedilen BirdCall’un Android sürümü, Windows arka kapısının komut ve yeteneklerinin bir alt kümesini uyguluyor; kişi listelerini, SMS mesajlarını, arama kayıtlarını, belgeleri, medya dosyalarını ve özel anahtarları topluyor. Ayrıca ekran görüntüleri alabiliyor ve çevresindeki sesleri kaydedebiliyor. ESET, bu araştırmaya dayanarak Android BirdCall’un birkaç ay boyunca aktif olarak geliştirildiğini ve en az yedi sürümün kullanıma sunulduğunu keşfetti.
Bu saldırıda ele geçirilen web sitesi Yanbian halkına ve geleneksel oyunlarına adanmış olduğundan ESET saldırının birincil hedeflerinin Yanbian’da yaşayan etnik Koreliler olduğu sonucuna vardı. Saldırının,Yanbian bölgesinde yaşayan (veya buradan gelen), büyük olasılıkla mülteciler veya kaçaklar ve Kuzey Kore rejimi tarafından ilgi çekici görülen kişiler hakkında bilgi toplamayı amaçladığı düşünülüyor.
Oyun platformunun Windows istemcisi, RokRAT arka kapısına yol açan kötü amaçlı bir güncelleme yoluyla ele geçirildi, bu da daha sofistike BirdCall arka kapısını devreye soktu. ScarCruft’un son saldırısını keşfeden ESET araştırmacısı Filip Jurčacko “Mağdurlar, cihazlarındaki tek bir sayfadan bir web tarayıcısı aracılığıyla trojan bulaşmış oyunları indirdiler ve muhtemelen bunları kasıtlı olarak yüklediler. Resmî Google Play mağazasında başka herhangi bir APK konumu veya kötü amaçlı APK tespit etmedik. Web sitesinin ne zaman ilk kez ele geçirildiğini ve tedarik zinciri saldırısının ne zaman başladığını belirleyemedik. Ancak dağıtılan kötü amaçlı yazılımın analizine dayanarak, bunun 2024’ün sonlarında gerçekleştiğini tahmin ediyoruz” açıklamasını yaptı .
Windows arka kapısı ilk olarak 2021’de keşfedilmiş ve ESET Tehdit İstihbaratı raporu kapsamında ScarCruft’a atfedilmişti. Orijinal Windows arka kapısı, ekran görüntüsü alma, tuş vuruşlarını ve panodaki içeriği kaydetme, kimlik bilgilerini ve dosyaları çalma ve kabuk komutlarını yürütme dâhil olmak üzere çok çeşitli casusluk yeteneklerine sahiptir. Arka kapı, C&C amaçları için Dropbox veya pCloud gibi meşru bulut depolama hizmetlerini veya ele geçirilmiş web sitelerini kullanır.
APT37 veya Reaper olarak da bilinen ScarCruft, en az 2012 yılından beri faaliyet gösteriyor ve Kuzey Kore casusluk grubu olduğundan şüpheleniliyor. Grup öncelikle Güney Kore’ye odaklansa da diğer Asya ülkeleri de hedef alınıyor. ScarCruft, esas olarak hükümet ve askeri kuruluşlarla ve Kuzey Kore’nin çıkarlarıyla bağlantılı çeşitli sektörlerdeki şirketlerle ilgileniyor gibi görünmektedir. Grup ayrıca Kuzey Kore’den kaçanları da hedef almaktadır.
