Eine mutmaßlich vom nordkoreanischen Regime gesteuerte Hackergruppe hat eine Online‑Spieleplattform genutzt, um gezielt Menschen auszuspähen. Wie Sicherheitsforscher des europäischen IT‑Sicherheitsunternehmens ESET herausgefunden haben, kompromittierte die Gruppe ScarCruft (auch bekannt als APT37 oder Reaper) eine Plattform, die vor allem von ethnischen Koreanern in der chinesischen Grenzregion Yanbian genutzt wird. Die Region gilt als wichtiger Zufluchts- und Kontaktpunkt für nordkoreanische Flüchtlinge und Überläufer.
Gezielte Angriffe auf politische Ziele
Nach Erkenntnissen von ESET handelte es sich um einen sogenannten Supply‑Chain‑Angriff. Die Angreifer manipulierten Software‑Updates der Plattform, sodass Nutzer unwissentlich Spionageprogramme installierten. Betroffen waren sowohl Windows‑Rechner als auch Android‑Smartphones. Ziel der Aktion war demnach nicht Cyberkriminalität im klassischen Sinne, sondern gezielte politische Ausspähung.
„Die Betroffenen haben die Spiele wahrscheinlich in gutem Glauben selbst installiert“, sagt ESET Forscher Filip Jurčacko. Hinweise auf eine Verbreitung über offizielle App‑Stores wie Google Play gibt es nicht. Nach Analyse der Schadsoftware dürfte der Angriff bereits seit Ende 2024 laufen.
Über die manipulierten Spiele gelangten gleich mehrere Hintertüren auf die Geräte der Betroffenen. Auf Windows‑Systemen installierte ein bösartiges Update zunächst die bekannte RokRAT‑Spionagesoftware, die anschließend eine weiterentwickelte Backdoor namens „BirdCall“ nachlud. Auf Android‑Geräten tauchte erstmals eine mobile Version von BirdCall auf, ein bislang unbekanntes Werkzeug im Arsenal von ScarCruft.
So gefährlich sind die Schadprogramme
Die Funktionen der Schadsoftware sind erheblich. Sie kann persönliche Daten und Dokumente auslesen, Kontakte, SMS und Anruflisten abgreifen, Screenshots anfertigen sowie Umgebungsgeräusche über das Mikrofon aufzeichnen. Nach Angaben von ESET wurde die Android‑Version über Monate hinweg weiterentwickelt. Mindestens sieben Varianten kamen zum Einsatz.
Dass ausgerechnet eine Spieleplattform mit regionalem und kulturellem Bezug zu Yanbian infiziert wurde, werten die Forscher als klares Indiz für eine gezielte Operation. „Alles spricht dafür, dass sich der Angriff gegen Personen richtet, die für Nordkorea von Interesse sind“, so ESET. Darunter waren vermutlich Flüchtlinge, Informanten oder Überläufer aus dem abgeschotteten Staat.
Das ist über ScarCruft bekannt
ScarCruft gilt seit Jahren als eine der zentralen Cyberspionagegruppen Nordkoreas. Die Gruppe ist mindestens seit 2012 aktiv und konzentriert sich vor allem auf politische, militärische und andere sensible Ziele in Ostasien. Immer wieder wurden ihr Angriffe auf südkoreanische Institutionen und auf Netzwerke nordkoreanischer Überläufer zugeschrieben.
Der aktuelle Fall zeigt nach Einschätzung von Experten einmal mehr, wie staatliche Akteure zunehmend alltägliche digitale Angebote missbrauchen, um an sensible Informationen zu gelangen und wie schwer sich solche Angriffe für die Betroffenen erkennen lassen.
Weitere Informationen gibt es im aktuellen Blogpost >>link>> auf Welivesecurity.com
Download-Website für schadhafte Spiele
