Il gruppo APT ScarCruft ha compromesso una piattaforma di videogiochi usata da cittadini di etnia coreana nella regione cinese di Yanbian. Tramite un aggiornamento malevolo del client Windows è stata diffusa la backdoor RokRAT, che ha installato la più avanzata BirdCall. Anche giochi Android sono stati infettati da trojan con una variante di BirdCall. L’obiettivo è lo spionaggio: raccolta di dati personali e documenti, screenshot e registrazioni vocali, probabilmente su rifugiati o profughi
I ricercatori di ESET hanno scoperto un attacco multipiattaforma alla supply chain sferrato dal gruppo APT ScarCruft, legato alla Corea del Nord, che ha preso di mira la regione cinese di Yanbian – dove vivono persone di etnia coreana e che costituisce un punto di passaggio per rifugiati e profughi nordcoreani. Nell’attacco, probabilmente in corso dalla fine del 2024, ScarCruft ha compromesso i componenti Windows e Android di una piattaforma di videogiochi a tema Yanbian, compromettendoli e trojanizzandoli con una backdoor. La backdoor, denominata da ESET BirdCall, era nota per attaccare solo i sistemi Windows; la versione Android è stata successivamente rilevata come parte di questo attacco alla supply chain.
La versione Android di BirdCall, individuata nell’ultimo attacco, implementa un sottoinsieme dei comandi e delle funzionalità della backdoor di Microsoft Windows: raccoglie contatti, messaggi SMS, registri delle chiamate, documenti, file multimediali echiavi private. È inoltre in grado di acquisire schermate e registrare l’audio circostante. ESET ha scoperto, sulla base di questa indagine, che la versione Android di BirdCall è stata sviluppata nel corso di diversi mesi e che ne sono state distribuite almeno sette versioni.
Poiché il sito web compromesso in questo attacco è dedicato alla comunità di Yanbian e ai passatempi tradizionali, ESET ritiene che gli obiettivi principali siano i cittadini di etnia coreana residenti a Yanbian. È probabile che l’attacco mirasse a raccogliere informazioni su persone residenti (o originarie) della regione di Yanbian e ritenute di interesse per il regime nordcoreano – molto probabilmente rifugiati o profughi.
Il client Windows della piattaforma dei giochi è stato compromesso tramite un aggiornamento dannoso che ha portato alla backdoor RokRAT, la quale ha, a sua volta, distribuito la backdoor BirdCall, più sofisticata. “Le vittime hanno scaricato i giochi infettati dal trojan tramite un browser web da una singola pagina sui propri dispositivi e probabilmente li hanno installati intenzionalmente. Non sono state identificate altre posizioni di APK né alcun APK dannoso sul Google Play Store ufficiale. Non siamo stati in grado di determinare quando il sito web sia stato compromesso per la prima volta e quando sia iniziato l’attacco alla supply chain. Tuttavia, sulla base della nostra analisi del malware distribuito, stimiamo che sia avvenuto alla fine del 2024”, afferma Filip Jurčacko, researcher di ESET, che ha scoperto l’ultimo attacco di ScarCruft.
La backdoor di Windows è stata scoperta inizialmente nel 2021 e attribuita a ScarCruft nell’ambito del report ESET Threat Intelligence. La backdoor originale di Windows dispone di un’ampia gamma di funzionalità di spionaggio, tra cui l’acquisizione di screenshot, la registrazione dei tasti digitati e del contenuto degli appunti, il furto di credenziali e file e l’esecuzione di comandi shell. Ai fini del controllo e comando (C&C), la backdoor utilizza servizi di archiviazione cloud legittimi, come Dropbox o pCloud, oppure siti web compromessi.
ScarCruft, noto anche come APT37 o Reaper, è attivo almeno dal 2012 ed è sospettato di essere un gruppo di spionaggio nordcoreano. Si concentra principalmente sulla Corea del Sud, ma sono stati presi di mira anche altri paesi asiatici. ScarCruft sembra essere interessato principalmente a organizzazioni governative e militari, nonché ad aziende di vari settori legate agli interessi della Corea del Nord. Il gruppo prende di mira anche i disertori nordcoreani.
Per maggiori dettagli su BirdCall, consultare l’ultimo post del blog di ESET Research “Un gioco truccato: ScarCruft compromette una piattaforma di gioco in un attacco alla supply-chain,” su WeLiveSecurity.com. Assicurarsi di seguire ESET Research su Twitter (oggi noto come X), BlueSky, e Mastodon per le ultime notizie da ESET Research.
