Une attaque ciblée sur la diaspora coréenne de Chine
Les chercheurs d’ESET ont mis au jour une campagne d’espionnage d’une précision chirurgicale, attribuée au groupe APT ScarCruft — également référencé sous les noms APT37 ou Reaper — et aligné sur les intérêts du régime nord-coréen. La cible de cette opération, active depuis vraisemblablement fin 2024, est une plateforme de jeux vidéo traditionnels dédiée aux résidents de la région de Yanbian, en Chine.
Ce territoire revêt une importance stratégique particulière : il concentre une forte présence de Coréens ethniques et constitue un point de transit reconnu pour les réfugiés et transfuges nord-coréens. Le choix de cette cible n’est donc pas anodin.
Une chaîne d’infection multiplateforme
L’attaque s’est opérée via une compromission de la chaîne d’approvisionnement : les victimes ont téléchargé directement depuis le site officiel du jeu une version Windows trojanisée. Une mise à jour malveillante a déclenché l’installation de la backdoor RokRAT, utilisée comme loader pour déployer BirdCall, une porte dérobée plus avancée — baptisée ainsi par ESET.
Parallèlement, les applications Android du jeu ont également été trojanisées pour intégrer un variant mobile de BirdCall. Celui-ci est capable d’exfiltrer contacts, SMS, journaux d’appels, documents, fichiers multimédias et clés privées, mais aussi de prendre des captures d’écran et d’enregistrer l’environnement sonore. ESET a identifié au moins sept itérations de ce variant Android, témoignant d’un développement actif sur plusieurs mois.
L’objectif : surveiller réfugiés et transfuges
Selon Filip Jurčacko, chercheur chez ESET à l’origine de la découverte, aucune présence du malware sur le Google Play Store officiel n’a été identifiée, et la date initiale de compromission du site demeure inconnue. L’analyse du code malveillant suggère toutefois un lancement de la campagne fin 2024.
Le profil très spécifique de la plateforme compromise — exclusivement dédiée aux habitants de Yanbian — permet à ESET de conclure que la campagne vise à collecter des renseignements sur des individus jugés stratégiquement intéressants par Pyongyang : réfugiés, transfuges ou toute personne d’intérêt pour le régime.
ScarCruft : un acteur persistant de l’espionnage asiatique
ScarCruft est actif depuis au moins 2012. Centré principalement sur la Corée du Sud, ce groupe étend ses opérations à plusieurs pays asiatiques. Ses cibles habituelles incluent les organisations gouvernementales et militaires, ainsi que les entreprises opérant dans des secteurs stratégiques pour les intérêts de Pyongyang. La campagne BirdCall marque une évolution notable avec le passage au ciblage multiplateforme Windows-Android.
L’analyse complète est disponible sur WeLiveSecurity.com : « Un jeu truqué : ScarCruft compromet une plateforme de jeu dans une attaque sur la chaîne d’approvisionnement ».
