新 ScarCruft 供应链攻击针对游戏平台，植入 Windows 和 Android 后门

一个与曹县有关联的威胁组织“ScarCruft”被发现针对延边地区朝鲜族人群服务的视频游戏平台发起供应链攻击。攻击者在该平台游戏的Windows和Android版本中植入后门，将一个可信的服务变成了隐蔽的间谍工具。

一个名为 ScarCruft 的与曹县有关联的威胁组织被发现对延边地区朝鲜族人使用的视频游戏平台发动供应链攻击。

攻击者在 Windows 和 Android 版本的平台游戏中植入后门，将一项受信任的服务变成了一项秘密间谍工具。

该行动可能从 2024 年底就开始了，其重点是收集曹县感兴趣的个人的个人数据。

此次遭到入侵的平台是sqgame，该平台为Windows、Android和iOS用户提供传统的延边主题卡牌和棋盘游戏。ScarCruft并未直接入侵游戏源代码。

该组织似乎访问了该平台的网络服务器，并将原始的 Android 游戏文件重新打包，加入了恶意代码。

sqgame 网站上的两款 Android 游戏被植入木马，携带 BirdCall 后门；而 Windows 客户端则通过恶意更新包受到攻击。

iOS 版本未显示任何篡改迹象，可能是因为苹果的审核流程使得恶意篡改更加困难。

WeLiveSecurity 分析师确定此次多平台供应链攻击的全部范围，并高度确信其与 ScarCruft 有关。

该团队指出，Android BirdCall 是该团队武器库中的一项新工具，并首次公开分析了 Android 版本。

ESET 遥测数据证实，恶意 Windows 更新至少从 2024 年 11 月起就已处于活动状态，它提供了第一阶段的 RokRAT 后门，然后该后门又将功能更强大的 BirdCall 后门投放到受害者的计算机上。

ScarCruft，又名APT37 或 Reaper，至少从 2012 年起就一直很活跃，被广泛认为是与曹县关联的网络间谍组织。

它主要针对韩国，但也袭击了其他亚洲国家，重点打击与曹县利益相关的政府机构、军事组织和行业。延边地区是半岛以外最大的朝鲜族群聚居地，与该组织的袭击目标非常吻合。

ESET 于 2025 年 12 月通知 sqgame 系统遭到入侵，但截至发稿时尚未收到任何回复。

BirdCall 后门的工作原理

BirdCall 的 Android 版本，内部名称为“zhuagou”（中文意为“抓狗”），通过托管在 sqgame 网站上的木马化游戏包传播。

每个 APK 文件中修改后的 AndroidManifest.xml 文件会将应用的启动重定向到后门代码。用户打开游戏后，后门会在后台静默运行，然后将控制权交还给合法游戏，从而使感染行为完全隐蔽。

延边红十游戏（来源 – Welivesecurity）

首次运行时，后门程序会收集共享存储的完整目录列表，并窃取用户的联系人、通话记录和短信。

正版游戏（左）及其木马化版本（右）的软件包树（来源：Welivesecurity）

它使用硬编码的凭证连接到云存储，并上传包括 RAM、IMEI、IP 和 MAC 地址以及地理位置在内的数据。

通信通过 Zoho WorkDrive 账户以 HTTPS 协议进行，研究人员发现此次活动使用了 12 个不同的驱动器。在某些版本中，麦克风录音功能在当地时间晚上 7 点至 10 点之间启用。

该后门程序还会截取屏幕截图并窃取扩展名为 .jpg、.doc、.pdf、.xls、.xlsx、.ppt、.pptx、.txt、.hwp、.m4a 和 .p12 的文件。

在 Windows 系统上，ScarCruft 将一个被植入木马的 mono.dll 文件嵌入到 sqgame 更新包中。该库中的下载器会先检查是否存在分析工具和虚拟环境，然后再从一个已被入侵的韩国网站（该网站包含 RokRAT）获取 shellcode。

投放有效载荷后，它会用干净的副本替换自身以清除证据。然后，RokRAT 会在受害机器上安装完整的 BirdCall 后门。

建议用户只从 Google Play 等可信应用商店安装应用，并始终保持设备处于最新补丁状态。

技术报告：

https://www.welivesecurity.com/en/eset-research/rigged-game-scarcruft-compromises-gaming-platform-supply-chain-attack/