Если вы скачали игру с платформы SQgame, есть шанс, что вместе с игрой вы получили троян. Группировка ScarCruft (она же APT37, она же Reaper) взломала серверы и подменила установочные файлы. В результате жертвы загружали не игровой клиент, а бэкдор BirdCall. Он крадет данные, скриншоты, сообщения и даже записывает звук с микрофона. Атака началась в конце 2024 года и, судя по всему, продолжается до сих пор.
Исследователи безопасности из ESET обнаружили сложную атаку на цепочку поставок (supply-chain attack). Злоумышленники скомпрометировали игровую платформу SQgame — мультиплатформенный сервис, созданный специально для жителей Яньбянь-Корейского автономного округа в китайской провинции Цзилинь. Этот округ граничит с Северной Кореей и Россией, и через него проходят многие северокорейские перебежчики и диссиденты. Именно они, вероятно, и были целью.
Что такое BirdCall
BirdCall — это бэкдор, который работает на Windows и Android. В зависимости от платформы, его возможности различаются.
| Платформа | Что умеет BirdCall |
| Windows | Снимает скриншоты, логирует нажатия клавиш, крадет содержимое буфера обмена, выполняет shell-команды, выгружает файлы |
| Android | Все то же + крадет контакты, SMS, журналы звонков, медиафайлы, документы, скриншоты, аудио с микрофона |
Все украденные данные загружаются на легитимные облачные сервисы — Dropbox, pCloud и другие. Это делает обнаружение трафика сложным: сетевые экраны видят соединения с известными облаками, а не со зловредными C2-серверами.
Почему мишенью стали геймеры
Платформа SQgame создана для этнических корейцев, живущих в Китае. Эта же аудитория — потенциальные источники информации о северокорейских перебежчиках, диссидентах и потоках людей через границу. Заражая игровой клиент, хакеры получали доступ к устройствам тех, кто иначе не попал бы в их поле зрения.
Схема атаки:
- ScarCruft взламывает серверы SQgame.
- Подменяет установочные файлы Windows- и Android-клиентов.
- Пользователи скачивают «игру» — получают троян.
- BirdCall устанавливается и начинает сбор данных.
- Все уходит в облачные хранилища.
Учитывая, что платформа до сих пор размещает зараженные игры (как минимум на Android), атака, вероятно, продолжается.
BirdCall активно поддерживается, добавляются новые функции и методы сокрытия. Это не разовая операция, а долгосрочная кампания.
Как защититься
| Для Windows | Для Android |
| Не скачивать игры с непроверенных источников | Устанавливать приложения только из официального магазина |
| Проверять цифровые подписи установщиков | Отключать установку из неизвестных источников |
| Иметь антивирус с поведенческим анализом | Использовать защитные решения для Android |
| Мониторить исходящий трафик | Следить за разрешениями приложений (доступ к микрофону, контактам) |
Для людей в Китае, особенно в Яньбяне, рекомендуется полностью избегать платформы SQgame до официального заявления разработчиков о ликвидации заражения.
Вердикт
Северная Корея десятилетиями использует кибератаки как инструмент сбора разведданных, добычи криптовалюты и давления на противников. Но целевая атака на собственную диаспору в Китае через игровую платформу — новый уровень цинизма. Перебежчики, диссиденты, этнические корейцы, просто любители игр — все они оказались мишенями.