Kuzey Kore’nin Hedefi: Yanbian’da Etkili Casusluk Saldırısı
Son dönemde ESET araştırmacıları, Kuzey Kore ile bağlantılı APT grubu ScarCruft tarafından gerçekleştirilen geniş çaplı bir casusluk kampanyasını ortaya çıkardı. Bu operasyonun, kişisel verileri, belgeleri toplamak, ekran görüntüleri almak ve ses kayıtları yapmak amacı taşıdığı bildiriliyor. Özellikle mülteciler ve kaçakların yer aldığı bir bilgi toplama süreci olduğu düşünülüyor.
Saldırının merkezinde, Kuzey Koreli mültecilerin geçiş noktası olarak bilinen Çin’in Yanbian bölgesi bulunuyor. ScarCruft, Yanbian temalı oyunları barındıran bir video oyun platformunun Windows ve Android bileşenlerini ele geçirerek, bu sistemleri arka kapı ve trojan ile işgal etti. ESET’in tespit ettiği bu arka kapıya “BirdCall” adı verilirken, ilk olarak yalnızca Windows platformunda faaliyet gösterdiği bilinmekteydi; Android sürümü ise sonradan keşfedildi.
BirdCall’un Android Versiyonu
Son günlerde ortaya çıkan Android sürümü, Windows arka kapısının işlevlerinin bir alt kümesini sunuyor; kişilerden alınan bilgi listeleri, SMS mesajları, arama kayıtları, belgeler, medya dosyaları ve özel anahtarlar gibi verileri toplayabiliyor. Bu gelişme, ESET’in araştırmasına göre, BirdCall’un birkaç ay boyunca aktif olarak geliştirilmekte olduğunu ve en az yedi versiyonunun piyasaya sürüldüğünü gösteriyor.
Hedef Kitle: Yanbian’daki Etnik Koreliler
ESET, saldırının birincil hedefinin Yanbian’da yaşayan etnik Koreliler olduğunu duyurdu. Ele geçirilen oyun platformunun yerel halk ve onların geleneksel oyunlarıyla ilgili olması, kampanyanın amacını netleştiriyor. Mülteciler ve kaçaklar hakkında bilgi toplama çabası, Kuzey Kore rejimi için stratejik bir öneme sahip. Saldırı, zamana yayılan bir kötü amaçlı güncelleme yoluyla, RokRAT arka kapısını devreye sokarak daha karmaşık bir sistem olan BirdCall’u etkin hale getirdi.
ESET araştırmacısı Filip Jurčacko, mağdurların trojan zararlı yazılımı bulaşmış oyunları indirdiğini ve bunun resmi Google Play mağazası dışında gerçekleştiğini belirtti. Ayrıca, tedarik zinciri saldırısının başlaması ve web sitesinin ele geçirilmesine dair kesin bir zaman aralığı verilemiyor; ancak bu olayların 2024 sonu itibarıyla gerçekleştiği tahmin ediliyor.
ScarCruft’un Geçmişi
Windows arka kapısı, 2021 yılında keşfedilmiş olup ScarCruft’a atfedilmiştir. İlk versiyon, ekran görüntüsü alma, tuş vuruşlarını takip etme ve dosya çalma gibi geniş casusluk yeteneklerine sahipti. Bu arka kapı, kontrol amaçları için meşru bulut depolama hizmetlerini ve ele geçirilmiş web sitelerini kullanarak faaliyet gösteriyor. Kuzey Kore’nin casusluk grubu olarak bilinen ScarCruft, 2012’den bu yana aktif bulunmakta ve öncelikle Güney Kore hedefli çalışmalarda yer almakta. Ancak grup ayrıca diğer Asya ülkeleri ve Kuzey Kore’den kaçan kişilerle de ilgilenmektedir.
