Северокорейская группировка ScarCruft внедрила шпионский бэкдор через игровую платформу для этнических корейцев в Китае

ScarCruft (также известная как APT37 и Reaper) действует как минимум с 2012 года и считается разведывательной группой, работающей на интересы КНДР. Ранее её жертвами становились правительственные и военные структуры Южной Кореи и других стран Азии, а также организации, связанные с северокорейской тематикой. В этот раз объектом стали представители корейской диаспоры в Китае. Группа сумела получить контроль над сайтом sqgame.net, где размещены традиционные игры для жителей Яньбяня - карточные и настольные развлечения, доступные на Windows, Android и iOS.

Для внедрения вредоносного кода использовался многоступенчатый сценарий. В версии для Windows атакующие подменили обновление клиента платформы: вместо легитимной библиотеки mono.dll распространялась её троянизированная версия. Она содержала загрузчик, который проверял отсутствие средств анализа и виртуальных машин, после чего скачивал полезную нагрузку - сначала бэкдор (вредоносную программу для скрытого удалённого управления) RokRAT, а затем более продвинутый бэкдор BirdCall. Вредоносное обновление было доступно по крайней мере с ноября 2024 года, но на момент публикации исследования оно уже не содержало опасного кода.

Android-версия атаки оказалась не менее опасной. Специалисты ESET обнаружили на VirusTotal подозрительный APK-файл карточной игры "延边红十" (в переводе с китайского "Яньбянь красная десятка"). К удивлению исследователей, этот же файл легально распространялся на официальном сайте платформы. Вторая игра, "新画图" ("Новый рисунок"), также была троянизирована. В обоих случаях вредоносная часть представляла собой Android-версию бэкдора BirdCall, которую ScarCruft разрабатывала несколько месяцев. Специалисты насчитали семь версий - от 1.0 (октябрь 2024 года) до 2.0 (июнь 2025 года). Третья Android-игра на сайте оказалась чистой, а iOS-версии атака не коснулась, вероятно, из-за строгих проверок App Store.

Бэкдор BirdCall для Android, внутреннее название zhuagou ("ловля собак"), оказался портом одноимённого Windows-вредоноса, написанного на C++. Он не запускается автоматически при загрузке устройства, а полагается на то, что пользователь сам откроет игру. После запуска вредоносная программа инициализирует конфигурацию в формате JSON, сохраняет её в файл и начинает сбор данных. Набор команд у Android-версии урезан по сравнению с Windows, но всё равно впечатляет: злоумышленники могут получать контакты, SMS, журналы звонков, документы, медиафайлы и закрытые ключи. Также бэкдор умеет делать снимки экрана и записывать звук с микрофона. В некоторых версиях запись включается только вечером, с 19 до 22 часов по местному времени, и длится не более трёх часов. Чтобы приложение не уснуло в фоне, используется хитрый трюк: во время съёмки экрана циклически проигрывается беззвучный MP3-файл.

Для связи с командным центром (C&C) Android BirdCall использует облачные хранилища. Исследователи насчитали 12 учётных записей сервиса Zoho WorkDrive, созданных атакующими. Бэкдор периодически проверяет облачную папку на наличие новых зашифрованных команд. Первые четыре байта каждой команды совпадают с таковыми у Windows-версии BirdCall - магическое число 0x2A7B4C33. Всего поддерживается около двух десятков типов команд, но Android реализует лишь часть: настройку расширений интересующих файлов, включение/отключение съёмки экрана и записи, смену облачных учётных записей, загрузку файлов, обновление самого бэкдора и полное его отключение.

Судя по собранной телеметрии, жертвы сами скачивали троянизированные игры через браузер и устанавливали их на свои устройства. Никаких следов распространения через Google Play не обнаружено. Основными целями, скорее всего, являются этнические корейцы в регионе Яньбянь и те, кто пересёк границу с Северной Кореей - беженцы и перебежчики. Шпионские возможности BirdCall позволяют ScarCruft собирать личные данные, документы, следить за перепиской и даже прослушивать окружение жертвы. Это делает атаку серьёзной угрозой для людей, которых северокорейский режим может считать нелояльными.

На момент публикации исследования вредоносные файлы всё ещё оставались на серверах sqgame[.]net. ESET уведомила владельцев платформы о взломе ещё в декабре 2025 года, но ответа не получила. Этот инцидент лишний раз показывает, как продуманно APT-группировки используют атаки на цепочки поставок, компрометируя безобидные на первый взгляд ресурсы, чтобы добраться до своих целей. Для защиты специалистам по информационной безопасности можно порекомендовать усилить мониторинг подозрительного трафика к облачным API, проверять подлинность обновлений стороннего ПО и обращать внимание на игры из неофициальных источников. Однако главный вывод - ни одна платформа, даже узкотематическая, не застрахована от интересов государственных хакеров.

IPv4

• 114.108.128.157
• 211.239.117.117
• 221.143.43.214
• 222.231.2.20
• 222.231.2.23
• 222.231.2.41
• 39.106.249.68

Domains

• 1980food.co.kr
• cndsoft.co.kr
• colorncopy.co.kr
• inodea.com
• sejonghaeun.com
• sqgame.com.cn
• swr.co.kr
• www.lawwell.co.kr

MD5

• 0bd494830049d72f015da64a407e9813
• 1f3c8879349d5fcf973abbcee82fd069
• 23a1eacad84be4f2c5830755b1948582
• 2d397a2ca2d3bfc9c7a509d04376547b
• 3d3d2dc34f01bcf890f185a5421836c7
• 4b1cdff75d17f3f220153e8f42ab58c0
• 72ac1287a8d71b27c437ec1f379ab506
• 7331602726f61959d8f0e7820d457370
• 83d0381907cbb1e2ed5973ec76452695
• 8602aaca3ea117d7c948e4bee0aac2c8
• a0830ce48537ba052f1d3b905d11a5bf
• a48b62e55a692bf6d1046d2be64d7150
• af767a0f2454a60b45f7adf79a4279b0
• e862d56da1077be740ffaa7b5b699675

SHA1

• 01a33066fbc6253304c92760916329abd50c3191
• 03e3ece9f48cf4104aafc535790ca2fb3c6b26cf
• 21ca0287ec5eaee8fb2f5d0542e378267d6ca0a6
• 2b81f78ec4c3f8d6cf8f677d141c5d13c35333af
• 2c6cc71b7e7e4b28c2c176b504bc5bdb687c4d41
• 409c5acaed587f62f7e23da47f72c4d9ec3144d9
• 59a9b9d47ae36411b277544f25ad2cc955d8dd2c
• 5b70453ab58824a65ed0b6175c903aa022a87d6a
• 7356d7868c81499fb4e720f7c9530e5763b4c1d0
• 95bdb94f6767a3cce6d92363bbf5bc84b786bdb0
• b06110e0feb7592872e380b7e3b8f77d80dd1108
• d9a369e328ea4f1b8304b6e11b50275f798e9d6b
• f9f6c0184cee9c1e4e15c2a73e56d7b927ea685b
• fc0c691db7e2d2bd3b0b4c1e24d18df72168b7d9

SHA256

• 185633e5dbe9235fc7e6a1ccb8631650afefd8f7da88c5c07d9b99ea38159822
• 1b357efafbcf7d0fc7a94b81654982024255a38d9922a0ce2434b7e0e6287796
• 33d887ca2e57fa03fc807dfba5376bf96718ee88f56e90d95ee4896a2c019bd0
• 415b253a81e67c8c860a97c73edc9017ce732b3c025d943d3b1a445b4ac82822
• 486bd76669fc2c0adc25a5498b42c1df5fc90514866d78318f8954aa0c67eacc
• 5aa7afd790481ad98357636fa4d9927ae01111409c8d7ce69998d2485c1d5e6f
• 751c8bda62110a0de6eb097f5c7955b1308f2d4acc2fc002a62cd9a59d59d912
• 7e3027ea9b87d7e9df5e23b54076855a296e53f718b08e9dc0b08135e0415f29
• 8282de02dd899f11011720db7e69826cac1f34f4a90c59f6405614bb991d3015
• 88d7aa96f00bcec816130950f4b851dddb17dcac82a05485f024266dc98713b8
• 95cda8431419f77407484ab72dc1e356421dcd801eccabe8869f77ee0eb58eb2
• abfa1524bf5ea0fa2f5903068b5def272cbb73073a295c58a9e30a65d35ff2ae
• bd620fbc225207d0abf8261847d0d942a75c939ccd3983293f4a096f547addb4
• dfa9c6adac98311d0f62e0eeecb947d92f7bda41ddf4ce9a6f9e20af7990422d