Угруповання ScarCruft, пов’язане з Північною Кореєю, здійснило цільову атаку на ланцюг постачання ігрової платформи sqgame[.]net, популярної серед етнічних корейців у китайському регіоні Яньбянь, підмінивши компоненти для Windows і Android шпигунським бекдором BirdCall; інцидент розширив раніше «настільну» шпигунську платформу до мультиплатформенної (Windows і Android) і створює прямий ризик для північнокорейських перебіжчиків та пов’язаних з ними мереж, тому всім користувачам sqgame слід негайно видалити Android‑ігри, встановлені поза офіційними магазинами, і перевірити системи на ознаки компрометації.
Технічні деталі атаки
Згідно з опублікованим дослідженням ESET, ScarCruft щонайменше з кінця 2024 року таємно модифікувала легітимні компоненти ігрової платформи sqgame[.]net, яку використовують у Яньбяні — прикордонному з Північною Кореєю та Росією регіоні Китаю, що відомий як один з основних транзитних маршрутів для втікачів із КНДР. Вибір цілі добре вписується в традиційний фокус ScarCruft на перебіжчиках, правозахисниках і академічній спільноті.
Ланцюжок зараження Windows
Для настільних систем було скомпрометовано ланцюжок оновлень клієнта sqgame для Windows. ESET зафіксувала, що щонайменше з листопада 2024 року офіційний пакет оновлення доставляв модифіковану DLL‑бібліотеку, яка виконувала роль завантажувача:
- запуск DLL під час оновлення або роботи настільного клієнта;
- перевірка списку запущених процесів на наявність інструментів аналізу та ознак віртуальної машини;
- за відсутності «підозрілих» процесів — завантаження та виконання шеллкоду, що містить сімейство RokRAT;
- RokRAT використовувався як проміжний шар для завантаження й встановлення новішого бекдора BirdCall на скомпрометованому хості.
Таким чином, BirdCall інтегровано в уже наявну екосистему інструментів ScarCruft, еволюціонуючи з RokRAT, відомого як мультиплатформове шпигунське ПЗ (варіанти для Windows, macOS — CloudMensis, Android — RambleOn).
У версії для Windows BirdCall підтримує типовий для просунутого бекдора набір функцій:
- створення скриншотів;
- перехоплення натискань клавіш (keylogging);
- крадіжка вмісту буфера обміну;
- виконання довільних команд оболонки;
- збір системної та користувацької інформації.
Командно‑контрольна інфраструктура (C2) для Windows‑версії BirdCall і RokRAT будується на основі легітимних хмарних сервісів, включно з Dropbox і pCloud, що відповідає техніці використання загальнодоступних веб‑сервісів для керування та ексфільтрації даних, описаної в MITRE ATT&CK T1567.002 (Exfiltration to Cloud Storage).
Розгортання BirdCall у Windows відбувається через багатоступеневий ланцюжок: початковий етап — скрипт на Ruby або Python, далі — послідовність зашифрованих компонентів, ключ до яких прив’язано до конкретного комп’ютера. Це ускладнює аналіз і повторне використання артефактів на інших хостах.
Атака на ланцюг постачання для Android
Найпомітніший елемент кампанії — виведення BirdCall на мобільні пристрої. ESET виявила, що:
- було підмінено лише Android‑APK, доступні для завантаження на sqgame[.]net;
- настільний клієнт для Windows у поточному вигляді та ігри для iOS на момент аналізу не містили шкідливого коду;
- сторінки завантаження двох Android‑ігор були модифіковані так, щоб роздавати троянізовані APK‑файли.
Android‑варіант BirdCall реалізує підмножину можливостей Windows‑бекдора, але з акцентом на тотальне стеження за власником пристрою:
- збір списку контактів;
- крадіжка SMS‑повідомлень і журналів викликів;
- ексфільтрація медіафайлів і документів;
- створення скриншотів;
- запис навколишнього звуку (ambient audio).
Для Android‑C2 використовується кілька хмарних сервісів — pCloud, Yandex Disk і Zoho WorkDrive, що підвищує стійкість кампанії та ускладнює виявлення за одним постачальником хмари. Аналіз еволюції Android‑бекдора виявив сім версій, перша з яких датується жовтнем 2024 року, що вказує на активне й швидке доопрацювання інструмента.
Ключові артефакти та IOC високого рівня
- Домен майданчика: sqgame[.]net (компрометація в межах ланцюга постачання, сам домен не обов’язково залишається зловмисним на момент читання).
- C2‑канали (усі — через легітимні сервіси):
- Dropbox — варіант для Windows;
- pCloud — Windows та Android;
- Yandex Disk — Android;
- Zoho WorkDrive — Android.
Точні IP‑адреси та хеш‑значення в публічному описі кампанії не наводяться; захист має ґрунтуватися на поведінковому та контекстному аналізі.
Контекст загроз: ScarCruft і еволюція інструментарію
ScarCruft — давно відстежуване шпигунське угруповання, асоційоване з КНДР і орієнтоване на корейськомовні цілі. Профіль групи відповідає опису G0067 в MITRE ATT&CK, де підкреслюється її увага до перебіжчиків з Північної
