- Le groupe APT ScarCruft, aligné sur les intérêts de la Corée du Nord, a compromis une plateforme de jeux vidéo ciblant les Coréens de la région de Yanbian en Chine.
- Une mise à jour malveillante sur le jeu Windows a déployé successivement la porte dérobée RokRAT puis BirdCall, plus avancée.
- Les applications Android du jeu ont-elles aussi été trojanisées pour intégrer une version mobile de BirdCall.
- La campagne vise l’espionnage, avec des capacités de collecte de données, captures d’écran et enregistrements audio.
- Il est probable que l'attaque vise à recueillir des informations sur des individus jugés d'intérêt pour le régime nord-coréen, très probablement des réfugiés et transfuges.
Les chercheurs d’ESET ont mis au jour une attaque de type chaîne d’approvisionnement et multiplateforme, attribuée au groupe APT ScarCruft, aligné sur les intérêts de la Corée du Nord. Cette campagne cible spécifiquement la région de Yanbian en Chine, un territoire à forte présence coréenne et point de transit notoire pour les réfugiés et transfuges nord-coréens. Active probablement depuis fin 2024, cette campagne repose sur la compromission d'une plateforme de jeux vidéo dédiée aux jeux traditionnels yanbian ; ses composants Windows et Android ont été trojanisés au moyen d'une porte dérobée baptisée BirdCall par ESET. Jusqu'alors connue pour cibler exclusivement Windows, cette backdoor dispose désormais d'une déclinaison Android, découverte dans le cadre de cette attaque.
Le variant Android de BirdCall implémente un sous-ensemble des fonctionnalités de sa contrepartie Windows. Il est capable d'exfiltrer contacts, SMS, journaux d'appels, documents, fichiers multimédias et clés privées, mais aussi de prendre des captures d'écran et d'enregistrer le son ambiant. Les analyses d’ESET indiquent que cette version Android a fait l’objet d’un développement actif sur plusieurs mois, avec au moins sept itérations identifiées.
Le site compromis étant exclusivement dédié aux habitants de Yanbian et à leurs pratiques ludiques traditionnelles, ESET conclut que les cibles prioritaires sont les Coréens résidant dans cette région. L'objectif de l'opération était vraisemblablement de collecter des renseignements sur des individus jugés d'intérêt stratégique par le régime nord-coréen, au premier rang desquels des réfugiés ou des transfuges.
La compromission du client Windows du jeu s’est opérée via une mise à jour malveillante, entraînant l’installation de la backdoor RokRAT, laquelle sert de loader pour déployer BirdCall, plus avancée. « Les victimes ont téléchargé les jeux compromis directement depuis une page web dédiée, via leur navigateur, puis les ont installés de manière volontaire. Aucun autre point de distribution malveillant ni présence sur le Google Play Store officiel n’a été identifié. La date initiale de compromission du site reste inconnue, mais notre analyse du malware suggère un démarrage de la campagne fin 2024 », précise Filip Jurčacko, chercheur chez ESET à l’origine de la découverte.
ScarCruft, également référencé sous les noms APT37 ou Reaper, est un groupe d'espionnage aligné sur les intérêts de la Corée du Nord, et actif depuis au moins 2012. Centré principalement sur la Corée du Sud, il étend toutefois ses opérations à d'autres pays asiatiques. Ses cibles de prédilection incluent les organisations gouvernementales et militaires, ainsi que les entreprises opérant dans des secteurs stratégiques pour les intérêts de la Corée du Nord. Le groupe cible également les transfuges nord-coréens.
Pour en savoir plus sur BirdCall et ScarCruft, consultez l’article publié par ESET Research : « Un jeu truqué : ScarCruft compromet une plateforme de jeu dans une attaque sur la chaîne d'approvisionnement », sur WeLiveSecurity.com.
Page de téléchargement menant aux jeux trojanisés.
Contact Presse :
Jolya COHOUNDO : presse@eset-nod32.fr
À propos d'ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l'intelligence artificielle et l'expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l'UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d'utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s'adaptant constamment à l'évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/na
et suivez-nous sur LinkedIn, Facebook et Instagram.