في تطور جديد يسلط الضوء على خطورة الهجمات الإلكترونية المدعومة من دول، كشفت شركة الأمن السيبراني ESET عن حملة تجسس معقدة نفذتها مجموعة القرصنة الكورية الشمالية المعروفة باسم ScarCruft. هذه المجموعة تمكنت من اختراق منصة ألعاب رقمية موجهة للأقليات الكورية في الصين، وزرعت برمجية خبيثة تحمل اسم BirdCall داخل مكونات المنصة، ما جعلها تهديدًا متعدد المنصات يستهدف كلًا من أنظمة ويندوز وأندرويد.
خلفية الهجوم وسياق الاستهداف
منصة الألعاب المستهدفة هي sqgame[.]net، التي يستخدمها الكوريون المقيمون في منطقة يانبيان شمال شرق الصين، وهي منطقة حساسة جغرافيًا كونها تقع على الحدود مع كوريا الشمالية وروسيا، وتُعرف أيضًا بأنها نقطة عبور رئيسية للمنشقين الكوريين عبر نهر التومين. اختيار هذه المنصة لم يكن عشوائيًا، إذ أن مجموعة ScarCruft لها تاريخ طويل في استهداف المنشقين، الناشطين الحقوقيين، وأساتذة الجامعات، ما يعكس البعد السياسي والاستخباراتي للهجوم.
تطور برمجية بيردكول من روكرات
برمجية BirdCall تعد امتدادًا متطورًا لبرمجية التجسس الشهيرة RokRAT، التي ظهرت لأول مرة عام 2021 واستهدفت أنظمة ويندوز، قبل أن تتطور لاحقًا لتشمل macOS عبر نسخة CloudMensis، وأندرويد عبر نسخة RambleOn. بيردكول تحمل قدرات متقدمة تشمل تسجيل ضغطات لوحة المفاتيح، التقاط صور الشاشة، سرقة محتوى الحافظة، تنفيذ أوامر عبر الطرفية، وجمع البيانات الحساسة. الأخطر من ذلك أنها تعتمد على خدمات سحابية شرعية مثل Dropbox وpCloud لإدارة الاتصالات مع خوادم التحكم والسيطرة، ما يجعل اكتشافها أكثر صعوبة.
أندرويد في مرمى الهجوم
النسخة الموجهة لأندرويد من بيردكول، والتي تم توزيعها عبر ملفات APK معدلة على موقع المنصة، تستهدف بيانات المستخدمين بشكل مباشر، بما في ذلك قوائم الاتصال، الرسائل النصية، سجلات المكالمات، الملفات الإعلامية، المستندات، وحتى تسجيل الصوت المحيط. وقد تم رصد سبع نسخ مختلفة من هذه البرمجية منذ أكتوبر 2024، ما يدل على استمرار تطويرها وصيانتها من قبل المجموعة المهاجمة. اللافت أن الهجوم اقتصر على تطبيقات أندرويد المتاحة للتنزيل، بينما بقيت نسخة ويندوز والنسخ الموجهة لنظام iOS سليمة نسبيًا، رغم أن تحديثات سابقة لعميل ويندوز تضمنت ملفات DLL خبيثة.
أبعاد استخباراتية وأمنية
هذا النوع من الهجمات يوضح كيف يمكن لمجموعة مدعومة من دولة أن تستغل منصات رقمية تبدو بريئة مثل الألعاب الإلكترونية لتحقيق أهداف تجسسية. استهداف الكوريين في الصين، خصوصًا في منطقة يانبيان، يعكس استراتيجية واضحة لمراقبة المنشقين وجمع معلومات حساسة عنهم. كما أن استخدام خدمات سحابية شرعية مثل Zoho WorkDrive وYandex Disk في النسخة الأندرويد يعزز من قدرة البرمجية على التخفي ضمن حركة البيانات الطبيعية، ما يزيد من صعوبة رصدها.
