– De aan Noord-Korea gelinkte APT-groep ScarCruft heeft een videogameplatform gehackt dat gebruikt wordt door etnische Koreanen in de Chinese regio Yanbian.
– De Windows-client van het platform werd gehackt via een kwaadaardige update die naar de RokRAT-backdoor leidde, vervolgens de gesofisticeerde BirdCall-backdoor installeerde.
– De op het platform beschikbare Android-games werden besmet met een trojaan om zo een Android-versie van de BirdCall-backdoor van ScarCruft in te brengen.
5 mei 2026 – ESET heeft een multiplatform-aanval op een toeleveringsketen ontdekt, uitgevoerd door de aan Noord-Korea gelinkte APT-groep ScarCruft. De aanval was gericht op de regio Yanbian in China, bewoond door etnische Koreanen en een doorgangspunt voor Noord-Koreaanse vluchtelingen en overlopers. Bij de aanval, die wellicht eind 2024 begon, compromitteerde ScarCruft met een backdoor de Windows- en Android-componenten van een platform voor games met een Yanbian focus. De backdoor, door ESET BirdCall genoemd, was eerst enkel gericht op Windows; de Android-versie werd later ontdekt als onderdeel van deze aanval op de toeleveringsketen.
De Android-versie van BirdCall, ontdekt bij een nieuwe aanval, implementeert een deel van de commando’s en mogelijkheden van de Windows-backdoor. Deze versie verzamelt contacten, sms-berichten, oproeplogs, documenten, mediabestanden en privésleutels. Ze maakt ook screenshots en neemt omgevingsgeluid op. Met dit onderzoek ontdekte ESET dat de Android-versie van BirdCall al tal van maanden actief werd ontwikkeld en dat er al minstens zeven versies van werden uitgebracht.
Daar de in deze aanval gehackte website bedoeld is voor de inwoners van Yanbian en hun gaming community, concludeert ESET dat het primaire doelwit etnische Koreanen zijn die in Yanbian wonen. De aanval was wellicht bedoeld om informatie te verzamelen over personen die in Yanbian wonen of ervan afkomstig zijn en voor het Noord-Koreaanse regime belangrijk zijn.
De Windows-cliënt van het gaming-platform werd gecompromitteerd door een kwaadaardige update die leidde naar de RokRAT-backdoor. Deze installeerde dan de meer gesofisticeerde BirdCall-backdoor. “Slachtoffers downloadden de met een trojan besmette games via een webbrowser vanaf één enkele pagina op hun toestellen en installeerden ze wellicht moedwillig. We vonden geen andere APK-locaties of kwaadaardige APK’s in de officiële Google Play Store. We konden niet vaststellen wanneer de website gecompromitteerd werd en de supply chain-aanval begon. Op basis van onze analyse van de verspreide malware denken we dat dit eind 2024 gebeurde”, aldus Filip Jurčacko, de ESET-onderzoeker die de nieuwste aanval van ScarCruft ontdekte.
De Windows-backdoor, eerst ontdekt in 2021, werd toegeschreven aan ScarCruft in het ESET Threat Intelligence Rapport. De originele Windows-backdoor beschikt over tal van spionagemogelijkheden, zoals het maken van screenshots, het registreren van toetsaanslagen en klembordinhoud, het stelen van inloggegevens en bestanden en het uitvoeren van shell-opdrachten. Voor zijn C&C (command-and-control)-doeleinden maakt de backdoor gebruik van legitieme cloudopslagservices zoals Dropbox, pCloud of gecompromitteerde websites.
ScarCruft, ook bekend als APT37 of Reaper, is minstens al sinds 2012 actief en wordt gezien als een Noord-Koreaanse spionagegroep. Deze richt zich vooral op Zuid-Korea, maar ook op andere Aziatische landen. ScarCruft lijkt vooral geïnteresseerd in overheids- en militaire organisaties alsook bedrijven in diverse sectoren gelinkt aan de belangen van Noord-Korea. De groep richt zich eveneens op Noord-Koreaanse vluchtelingen.
Voor meer informatie over BirdCall, lees “A rigged game: ScarCruft compromises gaming platform in a supply-chain attack,” de nieuwste blog van ESET Research op WeLiveSecurity.com. Volg ook ESET Research op Twitter (today known as X), BlueSky en Mastodon voor het meest recente nieuws en www.eset.com/be-nl.
.
Meer lezen
