Supply-chain компрометация sqgame: ScarCruft выводит BirdCall на Android

Группировка ScarCruft, связанная с Северной Кореей, провела целевую supply-chain атаку на игровую платформу sqgame[.]net, популярную среди этнических корейцев в китайском регионе Яньбянь, подменив компоненты для Windows и Android шпионским бэкдором BirdCall; инцидент расширил ранее «настольную» шпионскую платформу до мультиплатформенной (Windows и Android) и создает прямой риск для северокорейских перебежчиков и связанных с ними сетей, поэтому всем пользователям sqgame следует немедленно удалить Android‑игры, установленные вне официальных магазинов, и проверить системы на признаки компрометации.

Технические детали атаки

Согласно опубликованному исследованию ESET, ScarCruft как минимум с конца 2024 года тайно модифицировала легитимные компоненты игровой платформы sqgame[.]net, используемой в Яньбяне — приграничном с Северной Кореей и Россией регионе Китая, который известен как один из основных транзитных маршрутов для беглецов из КНДР. Выбор цели хорошо вписывается в традиционный фокус ScarCruft на перебежчиках, правозащитниках и академическом сообществе.

Цепочка заражения Windows

Для настольных систем была скомпрометирована цепочка обновлений клиента sqgame для Windows. ESET зафиксировала, что по крайней мере с ноября 2024 года официальный пакет обновления доставлял модифицированную DLL‑библиотеку, которая выполняла роль загрузчика:

• запуск DLL при обновлении или работе настольного клиента;
• проверка списка запущенных процессов на наличие инструментов анализа и признаков виртуальной машины;
• при отсутствии «подозрительных» процессов — загрузка и выполнение шеллкода, содержащего семейство RokRAT;
• RokRAT использовался как промежуточный слой для загрузки и установки более нового бэкдора BirdCall на скомпрометированном хосте.

Таким образом, BirdCall интегрирован в уже существующую экосистему инструментов ScarCruft, эволюционируя из RokRAT, известного как мультиплатформенное шпионское ПО (варианты для Windows, macOS — CloudMensis, Android — RambleOn).

На стороне Windows BirdCall поддерживает типичный для продвинутого бэкдора набор функций:

• снятие скриншотов;
• перехват нажатий клавиш (keylogging);
• кража содержимого буфера обмена;
• выполнение произвольных команд оболочки;
• сбор системной и пользовательской информации.

Командно‑контрольная инфраструктура (C2) для Windows‑версии BirdCall и RokRAT строится на основе легитимных облачных сервисов, включая Dropbox и pCloud, что соответствует технике использования общедоступных веб‑сервисов для управления и эксфильтрации данных, описанной в MITRE ATT&CK T1567.002 (Exfiltration to Cloud Storage).

Развертывание BirdCall на Windows происходит через многоступенчатую цепочку: начальная стадия — скрипт на Ruby или Python, далее — последовательность зашифрованных компонентов, ключ для которых привязан к конкретному компьютеру. Это усложняет анализ и повторное использование артефактов на других хостах.

Supply-chain атака на Android

Самый примечательный элемент кампании — вывод BirdCall на мобильные устройства. ESET обнаружила, что:

• были подменены только Android‑APK, доступные для скачивания на sqgame[.]net;
• настольный клиент для Windows в текущем виде и игры для iOS на момент анализа не содержали вредоносного кода;
• страницы загрузки двух Android‑игр были модифицированы так, чтобы раздавать троянизированные APK‑файлы.

Android‑вариант BirdCall реализует подмножество возможностей Windows‑бэкдора, но с акцентом на тотальную слежку за владельцем устройства:

• сбор списка контактов;
• кража SMS‑сообщений и журналов вызовов;
• эксфильтрация медиафайлов и документов;
• создание скриншотов;
• запись окружающего звука (ambient audio).

Для Android‑C2 используется несколько облачных сервисов — pCloud, Yandex Disk и Zoho WorkDrive, что расширяет устойчивость кампании и усложняет детектирование по одному поставщику облака. Анализ эволюции Android‑бэкдора выявил семь версий, первая из которых датируется октябрем 2024 года, что указывает на активную и быструю доработку инструмента.

Ключевые артефакты и IOC высокого уровня

• Домен площадки: sqgame[.]net (компрометация в рамках цепочки поставок, домен сам по себе не обязательно остается зловредным на момент чтения).
• C2‑каналы (все — через легитимные сервисы):
  • Dropbox — Windows‑вариант;
  • pCloud — Windows и Android;
  • Yandex Disk — Android;
  • Zoho WorkDrive — Android.

Точные IP‑адреса и хеш‑значения в открытом описании кампании не приводятся; защита должна строиться на поведенческом и контекстном анализе.

Контекст угроз: ScarCruft и эволюция инструментария

ScarCruft — давно отслеживаемая шпионская группировка, ассоциированная с КНДР и ориентированная на корейскоязычные цели. Профиль группы соответствует описанию G0067 в MITRE ATT&CK, где подчеркивается ее внимание к перебежчикам из Северной Кореи и связанным организациям.

Кампания против sqgame[.]net логично продолжает эту линию: платформа обслуживает корейскую диаспору в Яньбяне, а регион служит «бутылочным горлышком» для многих маршрутов побега из КНДР. Компрометация такого сервиса дает ScarCruft возможность:

• идентифицировать пользователей из целевой группы (в т. ч. потенциальных перебежчиков и их посредников);
• получать доступ к их коммуникациям и социальным графам через Android‑бэкдор;
• построить долговременное наблюдение, используя настольные клиенты для дополнительного контроля.

С технической точки зрения кампания сочетает несколько тактик из MITRE ATT&CK:

• компрометация цепочки поставок программного обеспечения — см. T1195 (Supply Chain Compromise);
• использование облачных сервисов для C2 и эксфильтрации (T1567.002);
• обход анализа через проверку инструментов безопасности и виртуальных машин на хосте перед загрузкой основной полезной нагрузки.

Эволюция от RokRAT к BirdCall, а также наличие родственных веток CloudMensis (macOS) и RambleOn (Android) указывают на зрелый, централизованно развиваемый набор инструментов, а не на единичный образец вредоносного ПО. Добавление supply-chain в локально популярный игровой сервис — логичный шаг к более надежной доставке этих инструментов в строго определенный регион и языковую группу.

Оценка воздействия

Наибольшему риску подвержены:

• этнические корейцы, проживающие в Яньбяне и использующие sqgame[.]net, особенно те, кто устанавливал Android‑игры из файлов APK;
• лица и организации, вовлеченные в помощь северокорейским перебежчикам либо поддерживающие связи с Яньбянем;
• структуры, использующие рабочие станции с установленным настольным клиентом sqgame и допускающие обновления без проверки целостности.

Потенциальные последствия:

• угроза физической безопасности: деанонимизация перебежчиков и посредников может привести к преследованию их самих и членов их семей;
• компрометация коммуникаций: перехват SMS, звонков, переписок и документов дает нападающим полное представление о социальных и финансовых связях жертвы;
• долговременная кибершпионажная опора: сочетание настольного и мобильного бэкдора позволяет ScarCruft выстраивать устойчивый канал присутствия в среде диаспоры и мониторить миграционные маршруты;
• вторичные инциденты: скомпрометированные устройства пользователей могут стать точкой входа для атак на правозащитные организации, НКО и университеты, с которыми они взаимодействуют.

Для организаций, работающих с корейской диаспорой или Яньбянем, риск носит не только технический, но и политико‑безопасностный характер: утечка личных данных и коммуникаций может иметь последствия на уровне стран.

Практические рекомендации

Для частных пользователей и диаспоры

• Немедленно удалить все Android‑игры, скачанные с sqgame[.]net (не из Google Play или других официальных магазинов).
• Выполнить полное сканирование устройства мобильным антивирусом от крупного вендора; при любом подозрении — сброс к заводским настройкам с последующей выборочной установкой приложений.
• Проверить разрешения приложений: если игры или несистемные программы имеют доступ к SMS, журналу звонков, микрофону или контактам — удалить их.
• Изменить пароли ко всем критичным учетным записям (мессенджеры, почта, соцсети, банковские сервисы) с устройства, заведомо не связанного со sqgame.
• По возможности избегать установки APK вручную и использовать только официальные магазины приложений.

Для организаций, SOC и команд безопасности

• Инвентаризация:
  • определить, используются ли в организации настольные клиенты sqgame или Android‑приложения, полученные из внешних источников;
  • проверить списки установленных программ на рабочих станциях и служебных мобильных устройствах.
• Сетевой мониторинг:
  • настроить контроль и журналирование обращений к Dropbox, pCloud, Yandex Disk, Zoho WorkDrive с клиентских устройств, для которых такое поведение нетипично (особенно с игровых приложений);
  • отдельно анализировать исходящие соединения от игровых клиентов и программ, обозначенных пользователями как «развлекательные».
• Поиск компрометации на Windows:
  • проверить историю обновлений настольного клиента sqgame и связанные DLL‑файлы на предмет несоответствия цифровой подписи и аномальных изменений;
  • искать сценарии, когда скрипты на Ruby или Python запускают непрофильные исполняемые файлы либо загружают зашифрованные блобы из сети;
  • внедрить правила в EDR/IDS для детектирования процессов, которые перед загрузкой исполняемого кода проверяют наличие инструментов анализа и признаков виртуальной машины.
• Мобильная безопасность:
  • ограничить возможность установки приложений из неизвестных источников на служебных Android‑устройствах;
  • включить обязательную проверку разрешений приложений в MDM‑политиках;
  • проводить выборочный аудит приложений, которые запрашивают доступ к микрофону, SMS и контактам, но по бизнес‑логике в нем не нуждаются (например, игры).
• Обучение пользователей:
  • отдельно информировать сотрудников и партнеров из корейской диаспоры о рисках установки игр и приложений из локальных или неофициальных источников;
  • объяснить, что сообщения, звонки и документы на телефоне, связанном с рискованными маршрутами миграции, могут представлять интерес для государственных спецслужб.

Главный приоритет для потенциально затронутых — в кратчайшие сроки провести инвентаризацию любых приложений и клиентов, связанных с sqgame[.]net, удалить Android‑игры, установленные из APK, и внедрить контроль сетевого трафика к облачным хранилищам, чтобы своевременно выявить и блокировать активность BirdCall и связанных с ним инструментов ScarCruft.