2026-05-05 00:00
← VoltarO grupo de hackers patrocinado pelo Estado, alinhado à Coreia do Norte, conhecido como ScarCruf, comprometeu uma plataforma de videogame em um ataque de espionagem à cadeia de suprimentos, trojanizando seus componentes com um backdoor chamado BirdCall para provavelmente atingir os coreanos étnicos residentes na China. Embora as versões anteriores do backdoor tenham como alvo principalmente usuários do Windows, avalia-se que o ataque à cadeia de suprimentos permitiu que os atores da ameaça também visassem dispositivos Android, essencialmente transformando-o em uma ameaça multiplataforma. De acordo com a ESET, a campanha destacou o sqgame[.]net, uma plataforma de jogos usada por coreanos étnicos que vivem na região de Yanbian, na China, na fronteira com a Coreia do Norte e a Rússia. Também é conhecido por atuar como ponto de trânsito primário e de alto risco para desertores norte-coreanos que cruzam o rio Tumen. Filip Jurčacko, pesquisador sênior de malware da ESET, disse ao The Hacker News que a campanha foi descoberta em outubro de 2025, acrescentando que os jogos Android trojanizados ainda estão disponíveis para download no site sqgame[.]net. Diz-se que a segmentação desta plataforma é uma estratégia deliberada, dada a história de ScarCruft de atacar desertores norte-coreanos, ativistas de direitos humanos e professores universitários. “No ataque, provavelmente em andamento desde o final de 2024, ScarCruft comprometeu componentes Windows e Android de uma plataforma de...
O grupo de hackers patrocinado pelo Estado, alinhado à Coreia do Norte, conhecido como ScarCruf, comprometeu uma plataforma de videogame em um ataque de espionagem à cadeia de suprimentos, trojanizando seus componentes com um backdoor chamado BirdCall para provavelmente atingir os coreanos étnicos residentes na China. Embora as versões anteriores do backdoor tenham como alvo principalmente usuários do Windows, avalia-se que o ataque à cadeia de suprimentos permitiu que os atores da ameaça também visassem dispositivos Android, essencialmente transformando-o em uma ameaça multiplataforma. De acordo com a ESET, a campanha destacou o sqgame[.]net, uma plataforma de jogos usada por coreanos étnicos que vivem na região de Yanbian, na China, na fronteira com a Coreia do Norte e a Rússia. Também é conhecido por atuar como ponto de trânsito primário e de alto risco para desertores norte-coreanos que cruzam o rio Tumen. Filip Jurčacko, pesquisador sênior de malware da ESET, disse ao The Hacker News que a campanha foi descoberta em outubro de 2025, acrescentando que os jogos Android trojanizados ainda estão disponíveis para download no site sqgame[.]net. Diz-se que a segmentação desta plataforma é uma estratégia deliberada, dada a história de ScarCruft de atacar desertores norte-coreanos, ativistas de direitos humanos e professores universitários. “No ataque, provavelmente em andamento desde o final de 2024, ScarCruft comprometeu componentes Windows e Android de uma plataforma de videogame dedicada a jogos com tema Yanbian, trojanizando-os com um backdoor”, disse a empresa eslovaca de segurança cibernética em um relatório compartilhado com The Hacker News antes da publicação. Versões para Windows do BirdCall, apelidadas de uma evolução avançada do RokRAT, foram detectadas na natureza desde 2021.
Ao longo dos anos, o RokRAT também foi adaptado para atingir macOS (CloudMensis) e Android (RambleOn), indicando que a família de malware continua a ser ativamente mantida pelos atores da ameaça. BirdCall vem equipado com recursos normalmente presentes em um backdoor, permitindo captura de tela, registro de teclas digitadas, roubo de conteúdo da área de transferência, execução de comandos shell e coleta de dados. Assim como o RokRAT, o malware depende de serviços de nuvem legítimos, como Dropbox e pCloud, para comando e controle (C2). “O BirdCall geralmente é implantado em uma cadeia de carregamento de vários estágios, começando com um script Ruby ou Python e contendo componentes criptografados usando uma chave específica do computador”, disse a ESET. A variante Android do BirdCall, distribuída como parte do ataque à cadeia de suprimentos sqgame[.]net, incorpora um subconjunto de sua contraparte do Windows, enquanto coleta listas de contatos, mensagens SMS, registros de chamadas, arquivos de mídia, documentos, capturas de tela e áudio ambiente. Uma análise da linhagem do malware revelou sete versões, com a primeira datando de outubro de 2024. Apesar do fato de o BirdCall ser construído sobre os fundamentos do RokRAT e, por extensão, do RambleOn, eles são fundamentalmente duas famílias de malware distintas. “Ambos se disfarçam de aplicativos Android legítimos e usam serviços de armazenamento em nuvem para exfiltração de dados, mas são backdoors diferentes”, observou Jurčacko.
Curiosamente, descobriu-se que o ataque à cadeia de suprimentos envenenou apenas os APKs do Android disponíveis para download na plataforma, deixando o cliente de desktop do Windows e os jogos do iOS intactos. As páginas de download de dois jogos Android hospedados no sqgame[.]net foram alteradas para servir os APKs maliciosos - atualmente não se sabe quando o site foi violado e os APKs envenenados começaram a ser distribuídos. No entanto, acredita-se que o incidente ocorreu em algum momento no final de 2024. Além disso, surgiram evidências de que um pacote de atualização do cliente de desktop Windows entregou uma DLL trojanizada desde pelo menos novembro de 2024 e por um período não especificado. O pacote de atualização não é mais malicioso. Especificamente, a DLL modificada incluía um downloader que verifica a lista de processos em execução para ferramentas de análise e ambientes de máquinas virtuais, antes de prosseguir com o download e execução do shellcode contendo RokRAT. O backdoor é então usado para buscar e instalar o BirdCall nos hosts infectados. A versão Android do BirdCall também depende de nuvem legítima serviços de armazenamento para comunicações C2.
Isso inclui pCloud, Yandex Disk e Zoho WorkDrive, o último dos quais se tornou uma presença cada vez mais comum em várias campanhas. “O backdoor do Android teve um desenvolvimento ativo e fornece recursos de vigilância, como coleta de dados e documentos pessoais, captura de tela e gravação de voz”, disse a ESET. Aprenda como impedir ataques do paciente zero antes que eles ignorem a detecção e comprometam seus sistemas nos pontos de entrada. Aprenda como validar caminhos de ataque reais e reduzir riscos exploráveis com validação contínua de segurança de agente. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.