Supply-Chain-Angriff von ScarCruft auf sqgame.net bedroht nordkoreanische Diaspora

Die mit Nordkorea verbundene Gruppierung ScarCruft hat einen gezielten Supply-Chain-Angriff auf die Spieleplattform sqgame[.]net durchgeführt, die unter ethnischen Koreanern in der chinesischen Region Yanbian beliebt ist, und dabei Komponenten für Windows und Android durch den Spionage-Backdoor BirdCall ersetzt; der Vorfall hat die zuvor „desktopbasierte“ Spionageplattform zu einer plattformübergreifenden Lösung (Windows und Android) ausgebaut und stellt ein unmittelbares Risiko für nordkoreanische Überläufer und deren Netzwerke dar, weshalb alle Nutzer von sqgame Android‑Spiele, die außerhalb offizieller Stores installiert wurden, umgehend entfernen und ihre Systeme auf Anzeichen einer Kompromittierung prüfen sollten.

Technische Details des Angriffs

Dem veröffentlichten Bericht von ESET zufolge manipuliert ScarCruft mindestens seit Ende 2024 heimlich legitime Komponenten der Spieleplattform sqgame[.]net, die in Yanbian eingesetzt wird – einer an Nordkorea und Russland grenzenden Region Chinas, die als einer der wichtigsten Transitkorridore für Flüchtlinge aus der DVRK gilt. Die Zielauswahl fügt sich gut in den traditionellen Fokus von ScarCruft auf Überläufer, Menschenrechtsaktivisten und die akademische Gemeinschaft ein.

Infektionskette unter Windows

Für Desktop-Systeme wurde die Update-Kette des sqgame-Clients für Windows kompromittiert. ESET stellte fest, dass mindestens seit November 2024 das offizielle Update-Paket eine modifizierte DLL‑Bibliothek auslieferte, die als Loader fungierte:

• Start der DLL beim Aktualisieren oder Betrieb des Desktop-Clients;
• Prüfung der laufenden Prozesse auf Analysewerkzeuge und Hinweise auf eine virtuelle Maschine;
• bei Abwesenheit „verdächtiger“ Prozesse – Laden und Ausführen von Shellcode, der die Familie RokRAT enthält;
• RokRAT wurde als Zwischenschicht genutzt, um den neueren Backdoor BirdCall auf dem kompromittierten Host nachzuladen und zu installieren.

Damit ist BirdCall in das bereits bestehende Ökosystem der Werkzeuge von ScarCruft integriert und entwickelt sich aus RokRAT weiter, das als plattformübergreifende Spyware bekannt ist (Varianten für Windows, macOS – CloudMensis, Android – RambleOn).

Auf der Windows-Seite unterstützt BirdCall den für einen fortgeschrittenen Backdoor typischen Funktionsumfang:

• Erstellung von Screenshots;
• Abfangen von Tastatureingaben (Keylogging);
• Diebstahl des Inhalts der Zwischenablage;
• Ausführung beliebiger Shell-Befehle;
• Sammlung von System- und Benutzerinformationen.

Die Command-and-Control-Infrastruktur (C2) für die Windows-Version von BirdCall und RokRAT basiert auf legitimen Cloud-Diensten, darunter Dropbox und pCloud, was der in MITRE ATT&CK T1567.002 (Exfiltration to Cloud Storage) beschriebenen Technik der Nutzung öffentlich zugänglicher Webservices für Steuerung und Datenexfiltration entspricht.

Die Bereitstellung von BirdCall unter Windows erfolgt über eine mehrstufige Kette: Anfangsstufe ist ein Ruby- oder Python-Skript, dem eine Abfolge verschlüsselter Komponenten folgt, deren Schlüssel an den jeweiligen Computer gebunden ist. Dies erschwert die Analyse und die Wiederverwendung der Artefakte auf anderen Hosts.

Supply-Chain-Angriff auf Android

Das bemerkenswerteste Element der Kampagne ist die Verlagerung von BirdCall auf mobile Endgeräte. ESET stellte fest, dass:

• nur die auf sqgame[.]net zum Download angebotenen Android‑APKs ausgetauscht wurden;
• der aktuelle Desktop-Client für Windows und die Spiele für iOS zum Zeitpunkt der Analyse keinen bösartigen Code enthielten;
• die Download-Seiten von zwei Android-Spielen so verändert wurden, dass sie trojanisierte APK-Dateien auslieferten.

Die Android-Variante von BirdCall implementiert eine Teilmenge der Funktionen des Windows-Backdoors, jedoch mit Schwerpunkt auf umfassender Überwachung des Gerätebesitzers:

• Sammlung der Kontaktliste;
• Diebstahl von SMS-Nachrichten und Anrufprotokollen;
• Exfiltration von Mediendateien und Dokumenten;
• Erstellung von Screenshots;
• Aufzeichnung von Umgebungsgeräuschen (ambient audio).

Für das Android‑C2 werden mehrere Cloud-Dienste genutzt – pCloud, Yandex Disk und Zoho WorkDrive –, was die Resilienz der Kampagne erhöht und eine Erkennung über einen einzelnen Cloud-Anbieter erschwert. Die Analyse der Evolution des Android-Backdoors ergab sieben Versionen, von denen die erste auf Oktober 2024 datiert ist, was auf eine aktive und schnelle Weiterentwicklung des Werkzeugs hinweist.

Zentrale Artefakte und IOCs auf hoher Ebene

• Plattform-Domain: sqgame[.]net (Kompromittierung im Rahmen der Supply-Chain; die Domain selbst ist zum Zeitpunkt des Lesens nicht zwangsläufig weiterhin bösartig).
• C2‑Kanäle (alle über legitime Services):
  • Dropbox – Windows-Variante;
  • pCloud – Windows und Android;
  • Yandex Disk – Android;
  • Zoho WorkDrive – Android.

Konkrete IP-Adressen und Hash-Werte werden in der öffentlichen Beschreibung der Kampagne nicht aufgeführt; die Verteidigung sollte auf Verhaltens- und Kontextanalyse basieren.

Bedrohungskontext: ScarCruft und die Evolution des Toolings

ScarCruft ist eine seit Langem beobachtete Spionagegruppe, die mit der DVRK in Verbindung gebracht wird und sich auf koreanischsprachige Ziele konzentriert. Das Profil der Gruppe entspricht der Beschreibung G0067 in MITRE ATT&CK, in der ihr Augenmerk auf Überläufern aus Nordkorea und verbundenen Organisationen hervorgehoben wird.

Die Kampagne gegen sqgame[.]net setzt diese Linie folgerichtig fort: Die Plattform bedient die koreanische Diaspora in Yanbian, und die Region fungiert als „Flaschenhals“ für viele Fluchtrouten aus der DVRK. Die Kompromittierung eines solchen Dienstes ermöglicht es ScarCruft:

• Nutzer aus der Zielgruppe zu identifizieren (einschließlich potenzieller Überläufer und ihrer Vermittler);
• über den Android-Backdoor Zugriff auf deren Kommunikation und soziale Bezüge zu erhalten;
• eine langfristige Überwachung aufzubauen, wobei Desktop-Clients für zusätzliche Kontrolle genutzt werden.

Aus technischer Sicht kombiniert die Kampagne mehrere Taktiken aus MITRE ATT&CK:

• Kompromittierung der Software-Supply-Chain – siehe T1195 (Supply Chain Compromise);
• Nutzung von Cloud-Services für C2 und Exfiltration (T1567.002);
• Umgehung der Analyse durch Überprüfung von Sicherheitswerkzeugen und virtuellen Maschinen auf dem Host vor dem Laden der eigentlichen Nutzlast.

Die Evolution von RokRAT zu BirdCall sowie das Vorhandensein verwandter Zweige wie CloudMensis (macOS) und RambleOn (Android) deuten auf ein ausgereiftes, zentral weiterentwickeltes Toolset hin und nicht auf ein einzelnes Malware-Beispiel. Die Einbindung einer Supply-Chain in einen lokal populären Spiele-Service ist ein logischer Schritt hin zu einer zuverlässigeren Zustellung dieser Werkzeuge in eine klar umrissene Region und Sprachgemeinschaft.

Auswirkungsbewertung

Am stärksten gefährdet sind:

• ethnische Koreaner, die in Yanbian leben und sqgame[.]net nutzen, insbesondere jene, die Android-Spiele per APK installiert haben;
• Personen und Organisationen, die in die Unterstützung nordkoreanischer Überläufer eingebunden sind oder Verbindungen nach Yanbian unterhalten;
• Strukturen, die Workstations mit installiertem sqgame-Desktop-Client einsetzen und Updates ohne Integritätsprüfung zulassen.

Mögliche Folgen:

• Gefahr für die physische Sicherheit: Die Deanonymisierung von Überläufern und Vermittlern kann zu Verfolgung der Betroffenen und ihrer Familien führen;
• Kompromittierung der Kommunikation: Der Abgriff von SMS, Anrufen, Schriftverkehr und Dokumenten verschafft den Angreifern ein vollständiges Bild der sozialen und finanziellen Beziehungen des Opfers;
• Langfristige Cyberspionage-Basis: Die Kombination aus Desktop- und mobilem Backdoor ermöglicht es ScarCruft, einen dauerhaften Präsenzkanal in der Diaspora-Umgebung aufzubauen und Migrationsrouten zu überwachen;
• Sekundäre Vorfälle: Kompromittierte Geräte von Nutzern können als Einstiegspunkt für Angriffe auf Menschenrechtsorganisationen, NGOs und Universitäten dienen, mit denen sie interagieren.

Für Organisationen, die mit der koreanischen Diaspora oder Yanbian arbeiten, ist das Risiko nicht nur technischer, sondern auch politisch-sicherheitspolitischer Natur: Die Offenlegung personenbezogener Daten und von Kommunikation kann Folgen auf Staatsebene haben.

Praktische Empfehlungen

Für Privatnutzer und Diaspora

• Unverzüglich alle Android-Spiele löschen, die von sqgame[.]net heruntergeladen wurden (nicht aus Google Play oder anderen offiziellen Stores).
• Eine vollständige Gerätescan-Prüfung mit einer mobilen Antivirus-Lösung eines großen Herstellers durchführen; bei jedem Verdacht – Zurücksetzen auf Werkseinstellungen mit anschließender selektiver Neuinstallation von Apps.
• App-Berechtigungen prüfen: Wenn Spiele oder andere Nicht-Systemprogramme Zugriff auf SMS, Anrufprotokolle, Mikrofon oder Kontakte haben – diese entfernen.
• Passwörter für alle kritischen Accounts (Messenger, E-Mail, soziale Netzwerke, Bankdienste) von einem Gerät aus ändern, das nachweislich nicht mit sqgame in Verbindung steht.
• Wenn möglich auf manuelle Installation von APKs verzichten und ausschließlich offizielle App-Stores nutzen.

Für Organisationen, SOCs und Security-Teams

• Inventarisierung:
  • ermitteln, ob in der Organisation sqgame-Desktop-Clients oder Android-Apps genutzt werden, die aus externen Quellen bezogen wurden;
  • Installationslisten auf Workstations und dienstlichen Mobilgeräten prüfen.
• Netzwerk-Monitoring:
  • Überwachung und Protokollierung von Zugriffen auf Dropbox, pCloud, Yandex Disk und Zoho WorkDrive von Client-Geräten einrichten, für die ein solches Verhalten untypisch ist (insbesondere von Spiele-Apps);
  • ausgehende Verbindungen von Spiele-Clients und Programmen, die von Nutzern als „Unterhaltung“ eingestuft werden, gesondert analysieren.
• Suche nach Kompromittierung unter Windows:
  • Update-Historie des sqgame-Desktop-Clients und die zugehörigen DLL-Dateien auf Abweichungen in der digitalen Signatur und ungewöhnliche Änderungen prüfen;
  • Szenarien identifizieren, in denen Ruby- oder Python-Skripte fachfremde Executables starten oder verschlüsselte Blobs aus dem Netz laden;
  • Regeln in EDR/IDS implementieren, um Prozesse zu erkennen, die vor dem Laden von ausführbarem Code nach Analysewerkzeugen und Hinweisen auf virtuelle Maschinen suchen.
• Mobile Sicherheit:
  • auf dienstlichen Android-Geräten die Installation von Apps aus unbekannten Quellen einschränken;
  • in MDM-Richtlinien eine verpflichtende Prüfung der App-Berechtigungen aktivieren;
  • stichprobenartige Audits von Apps durchführen, die Zugriff auf Mikrofon, SMS und Kontakte anfordern, diesen jedoch aus geschäftlicher Sicht nicht benötigen (z. B. Spiele).
• Awareness-Training:
  • Mitarbeiter und Partner aus der koreanischen Diaspora gezielt über die Risiken der Installation von Spielen und Apps aus lokalen oder inoffiziellen Quellen informieren;
  • erläutern, dass Nachrichten, Anrufe und Dokumente auf einem Telefon, das mit riskanten Migrationsrouten in Verbindung steht, für staatliche Geheimdienste von Interesse sein können.

Oberste Priorität für potenziell Betroffene ist es, in kürzester Zeit eine Inventarisierung aller Anwendungen und Clients mit Bezug zu sqgame[.]net durchzuführen, Android-Spiele zu entfernen, die per APK installiert wurden, und eine Kontrolle des Netzwerkverkehrs zu Cloud-Speichern einzuführen, um die Aktivität von BirdCall und den zugehörigen ScarCruft-Werkzeugen rechtzeitig zu erkennen und zu blockieren.