แฮกเกอร์เกาหลีเหนือฝังมัลแวร์ BirdCall ในแพลตฟอร์มเกม เจาะกลุ่มชาวเกาหลีเชื้อสายจีน
นักวิจัยด้านความปลอดภัยจาก ESET เปิดเผยว่า กลุ่มแฮกเกอร์จากเกาหลีเหนือที่เชื่อมโยงกับรัฐอย่าง ScarCruft หรือ APT37 ได้เจาะระบบแพลตฟอร์มเกม SQgame และฝังมัลแวร์แบ็กดอร์ชื่อ BirdCall เพื่อขโมยข้อมูลผู้ใช้งาน โดยมุ่งเป้าไปที่ชาวเกาหลีเชื้อสายจีนเป็นหลัก
SQgame เป็นแพลตฟอร์มเกมที่ได้รับความนิยมในกลุ่มชาวเกาหลีเชื้อสายจีน โดยเน้นเกมไพ่และบอร์ดเกมแบบดั้งเดิมที่เกี่ยวข้องกับวัฒนธรรมในพื้นที่ Yanbian หรือเขตปกครองตนเองชนชาติเกาหลีเหยียนเปียน ซึ่งตั้งอยู่ใกล้ชายแดนเกาหลีเหนือ
รายงานระบุว่า การโจมตีเริ่มขึ้นตั้งแต่ช่วงปลายปี 2024 และยังคงดำเนินต่อเนื่องมาจนถึงปัจจุบัน โดยแฮกเกอร์ได้ดัดแปลงทั้งเวอร์ชัน Windows และ Android ของ SQgame ให้ฝังมัลแวร์ BirdCall ไว้ภายใน
บนระบบ Windows มัลแวร์สามารถจับภาพหน้าจอ บันทึกการพิมพ์คีย์บอร์ด รันคำสั่ง shell และเข้าควบคุมเครื่องจากระยะไกลได้ ขณะที่บน Android จะสามารถขโมยรายชื่อผู้ติดต่อ ข้อความ SMS ประวัติการโทร รวมถึงข้อมูลส่วนตัวอื่น ๆ จากอุปกรณ์
นอกจากนี้ BirdCall ยังสามารถดึงข้อมูลข้อความ รูปภาพ ไฟล์มีเดีย เสียงแวดล้อม และข้อมูลจากคลิปบอร์ด ก่อนอัปโหลดข้อมูลทั้งหมดไปยังบริการคลาวด์อย่าง Dropbox
ESET ระบุว่า มัลแวร์ BirdCall ถูกอัปเดตมาแล้วอย่างน้อย 7 ครั้ง สะท้อนให้เห็นว่าปฏิบัติการนี้ยังอยู่ระหว่างการพัฒนาและดูแลอย่างต่อเนื่อง
พื้นที่ Yanbian ถือเป็นจุดยุทธศาสตร์สำคัญสำหรับเกาหลีเหนือ เนื่องจากตั้งอยู่ใกล้ชายแดนและเป็นพื้นที่ที่มีชาวเกาหลีอาศัยอยู่จำนวนมาก รวมถึงถูกใช้เป็นเส้นทางผ่านของผู้ลี้ภัยและผู้แปรพักตร์จากเกาหลีเหนือ
นักวิจัยมองว่า การเลือกโจมตีแพลตฟอร์มเฉพาะกลุ่มอย่าง SQgame แสดงให้เห็นแนวโน้มใหม่ของกลุ่ม APT จากเกาหลีเหนือ ที่หันมาใช้แพลตฟอร์มเฉพาะทางและมีความเฉพาะด้านวัฒนธรรม เพื่อเข้าถึงเหยื่อที่มีโอกาสระวังตัวน้อยกว่าแพลตฟอร์มกระแสหลัก
ปัจจุบัน SQgame ยังอยู่ในสถานะถูกบุกรุก และเวอร์ชัน Android ที่มีโค้ดอันตรายยังคงถูกเผยแพร่อยู่ ทำให้ผู้ใช้งานแพลตฟอร์มดังกล่าวและแอปจากแหล่งดาวน์โหลดเฉพาะทางควรเพิ่มความระมัดระวังเป็นพิเศษ ก่อนติดตั้งซอฟต์แวร์หรือเกมจากแหล่งที่ไม่คุ้นเคย
ที่มา: TweakTown
