Teknoloji

Güney Koreli Siber Grup ScarCruft, Oyun Platformunu Ele Geçirdi

Güney Kore merkezli olduğu düşünülen ScarCruft adlı siber güvenlik grubu, Yanbian bölgesindeki bir oyun platformunun Windows ve Android bileşenlerini ele geçirerek BirdCall adlı arka kapı ve Truva atı bulaştırdı. Grup, hassas verileri toplama ve casusluk yapma yeteneklerine sahip.

Editör 11 Mayıs 2026

| 3 dk okuma

Paylaş:

Güney Kore merkezli olduğu düşünülen siber güvenlik grubu ScarCruft, etnik Korelilerin yaşadığı ve Kuzey Koreli mülteciler için geçiş noktası olan Yanbian bölgesindeki bir oyun platformunu hedef aldı. Grup, platformun Windows ve Android bileşenlerine arka kapı (backdoor) ve Truva atı (Trojan) bulaştırdı.

Yaklaşık 2024 yılı sonlarından beri devam ettiği tahmin edilen saldırıda kullanılan ve BirdCall olarak adlandırılan arka kapının başlangıçta yalnızca Windows'u hedeflediği, Android sürümünün ise daha sonra keşfedildiği belirtildi. Android sürümünün, Windows versiyonunun komut ve yeteneklerinin bir alt kümesini uyguladığı, kişi listeleri, SMS mesajları, arama kayıtları, belgeler, medya dosyaları ve özel anahtarlar gibi hassas verileri topladığı bildirildi. Ayrıca ekran görüntüleri alabilme ve çevredeki sesleri kaydedebilme yeteneğine sahip olduğu tespit edildi.

Güvenlik uzmanları, yapılan incelemeler sonucunda Android BirdCall'un birkaç aydır aktif olarak geliştirildiğini ve en az yedi sürümünün kullanıma sunulduğunu ortaya koydu. Oyun platformunun Windows istemcisinin ise RokRAT arka kapısına yol açan kötü amaçlı bir güncelleme ile ele geçirildiği ve bu durumun daha gelişmiş BirdCall arka kapısını devreye soktuğu aktarıldı. Saldırıya uğrayan kullanıcıların, trojan bulaşmış oyunları bir web tarayıcısı aracılığıyla indirdikleri ve muhtemelen bilinçli olarak yükledikleri belirtildi. Resmi Google Play mağazasında herhangi bir kötü amaçlı APK dosyasına rastlanmadığı kaydedildi.

Windows arka kapısının ilk olarak 2021'de keşfedildiği ve ScarCruft grubuna atfedildiği hatırlatıldı. Orijinal Windows arka kapısının ekran görüntüsü alma, tuş vuruşlarını ve panodaki içeriği kaydetme, kimlik bilgilerini ve dosyaları çalma gibi çeşitli casusluk yeteneklerine sahip olduğu biliniyor. Arka kapının iletişim ve kontrol (C&C) amacıyla Dropbox veya pCloud gibi meşru bulut depolama hizmetlerini veya ele geçirilmiş web sitelerini kullandığı ifade edildi.

APT37 veya Reaper olarak da bilinen ScarCruft grubunun en az 2012'den beri faaliyet gösterdiği ve Kuzey Kore casusluk grubu olduğundan şüphelenildiği bilgisi paylaşıldı. Grubun öncelikli hedefinin Güney Kore olduğu, ancak diğer Asya ülkelerinin de hedef alındığı belirtildi. ScarCruft'un özellikle hükümet ve askeri kuruluşlar ile Kuzey Kore'nin çıkarlarıyla bağlantılı şirketleri hedef aldığı, ayrıca Kuzey Kore'den kaçanları da mercek altına aldığı aktarıldı.

#siber güvenlik #siber saldırı #ScarCruft #BirdCall #Truva atı #arka kapı #Kuzey Kore