ScarCruft’tan Sinsi Kuşatma: Kuzey Koreli Korsanlar Oyun Platformunu Casus Yazılıma Dönüştürdü

Kuzey Kore bağlantılı siber casusluk grubu ScarCruft, Çin’in Yanbian bölgesindeki Koreli mültecileri hedef almak için popüler bir oyun platformunu tedarik zinciri saldırısıyla ele geçirdi. Siber güvenlik devi ESET’in raporuna göre, Windows ve Android cihazları hedef alan bu saldırı; kişisel verilerin çalınmasından ses kaydı alınmasına kadar geniş bir casusluk yelpazesini kapsıyor.

Dijital Casuslukta Yeni Perde: ScarCruft Android ve Windows Kullanıcılarını Hedef Alıyor

Tedarik Zinciri Üzerinden Kişisel Veri Avı

APT37 veya Reaper olarak da bilinen ScarCruft grubu, saldırılarını doğrudan bireylere yöneltmek yerine, güvenilir bir oyun platformunun güncelleme ve indirme mekanizmalarını ele geçirerek gerçekleştirdi. "BirdCall" ve "RokRAT" adı verilen gelişmiş arka kapılar (backdoor), platformun Windows ve Android sürümlerine trojan olarak entegre edildi. Bu kötü amaçlı yazılımlar; rehber bilgilerini, SMS mesajlarını, arama kayıtlarını ve özel anahtarları ele geçirme yeteneğine sahip. Yazılımın özellikle ekran görüntüsü alma ve ortam dinlemesi yapabilme özelliği, saldırının amacının sadece veri hırsızlığı değil, derin bir takip ve gözetleme faaliyeti olduğunu kanıtlıyor.

Hedef Kitle: Yanbian Bölgesi ve Koreli Mülteciler

ESET araştırmacılarının analizlerine göre, saldırının birincil hedefi Çin’in Yanbian bölgesinde yaşayan etnik Koreliler ve Kuzey Kore’den kaçan mülteciler. 2024 yılı sonlarından itibaren aktif olduğu tahmin edilen bu kampanya, Google Play gibi resmi mağazalar yerine, ele geçirilmiş web siteleri üzerinden dağıtılan trojanlı APK’lar ve güncelleme dosyalarıyla yayılıyor. ScarCruft’un, çalınan verileri depolamak için Dropbox ve pCloud gibi yasal bulut hizmetlerini veya daha önce ele geçirdiği web sitelerini kullanması, saldırının tespit edilmesini zorlaştıran profesyonel bir yöntem olarak öne çıkıyor.