网络攻击组织ScarCruft通过游戏平台相关域名sqgame.net传播BirdCall恶意软件,大量攻击Android手机用户

ScarCruft（又称 APT37 或 Reaper）简介‌
ScarCruft 是一个至少自 2012 年开始活动的朝鲜背景间谍组织，主要针对韩国，同时也会攻击其他亚洲国家。

其目标通常包括政府、军事机构以及与朝鲜利益相关的各行业企业。该组织还会针对朝鲜脱北者进行攻击，相关活动在近期报告中仍有提及。


BirdCall 后门程序‌

BirdCall 是一款由 ESET 在 2021 年发现并归因于 ScarCruft 的 Windows 后门程序，采用 C++ 编写。它具有广泛的间谍功能，包括截屏、记录键盘输入和剪贴板内容、窃取凭据与文件、执行 shell 命令等。

该后门通常通过 Dropbox、pCloud 等合法云存储服务或受感染网站进行 C&C 通信，并采用多阶段加载链部署（常以 Ruby 或 Python 脚本启动，组件使用计算机特定密钥加密）。

Android 版本 BirdCall‌
在近期发现的攻击活动中，ESET 首次发现了 BirdCall 的 Android 版本。该版本功能较 Windows 版本有所简化，但仍能收集联系人、短信、通话记录、文档、媒体文件、私钥，并支持截屏和录音。根据研究，Android 版 BirdCall 在 2024 年 10 月至 2025 年 6 月期间持续开发，共发现 7 个版本（从 1.0 到 2.0）。

攻击活动发现‌
ESET 研究人员通过 VirusTotal 上的可疑 APK 文件展开调查，发现该 APK 是一个名为 ‌“延边红十”‌ 的纸牌游戏的木马化版本。该游戏源自专注于延边地区传统游戏的平台 ‌sqgame[.]net‌。攻击者自 2024 年底开始，通过供应链攻击感染了该平台的 Windows 和 Android 客户端，植入 BirdCall 后门。



攻击链关键点‌

Windows 客户端通过恶意更新植入 RokRAT 后门，进而部署更复杂的 BirdCall。
Android 游戏则直接植入 Android 版 BirdCall，成为 ScarCruft 的新工具。
攻击目标为间谍活动，后门可窃取个人数据、文档、截屏及录音。

总结‌
ScarCruft 通过供应链攻击，利用游戏平台针对中国延边地区的朝鲜族群体及脱北者进行长期间谍活动。

BirdCall 作为其多平台后门工具，同时覆盖 Windows 和 Android 系统，展现出该组织持续演进的技术能力。