朝鲜APT37利用游戏平台发起跨平台供应链攻击 | Android版BirdCall后门曝光李白你好-实战攻防李白你好

近年来，针对软件供应链的高级持续性威胁（APT）攻击愈发频繁，其隐蔽性和破坏力对全球网络安全构成了严峻挑战。ESET研究团队近期披露了朝鲜半岛背景APT组织ScarCruft的最新活动。该组织通过控制一个特定地区的游戏平台，实施了一起针对Windows和Android双平台的供应链攻击。本文将深度剖析该事件的技术细节、攻击链条及背后的地缘政治动机。

20260507162400622-图片

一、背景与目标

1.1 攻击组织画像：Scarcruft（APT37）

ScarCruft，又被称为APT37、Reaper、Group123或InkySquid，是一个自2012年以来持续活跃的APT组织。多方情报显示，该组织与朝鲜情报机构（如国家安全部或侦察总局）关系密切，主要执行网络间谍任务。其传统攻击目标集中于韩国政府的军政机构、国防承包商、智库以及学术界，尤其针对脱北者、人权律师和朝鲜半岛问题专家等特定人群。

1.2 攻击目标剖析：地缘政治的延伸

本次攻击的受害者是延边朝鲜族自治州的朝鲜族群体。该地区不仅是重要的文化聚居区，更是朝鲜难民和脱北者进入中国的主要中转站。攻击者精心选择了一个提供“延边红十”等传统纸牌和棋盘游戏的平台（sqgame[.]net）作为跳板。该平台拥有Windows、安卓和iOS客户端，用户群体具有高度针对性。通过入侵此类带有浓厚地域文化色彩的平台，ScarCruft得以精准地将间谍软件投送到其关注的人群中，降低了广撒网式攻击的暴露风险。

二、攻击链与战术分析

ESET的调查表明，此攻击活动可能至少从2024年末开始，2025年10月至12月期间仍有活动迹象，直到2026年5月才被公之于众。攻击者在Windows和Android平台上采用了截然不同的攻击链。

20260507162408185-图片

2.1 Windows攻击链：通过恶意更新加载多阶段后门

在Windows平台上，攻击者并未直接污染客户端安装包，而是控制了游戏平台的更新服务器（http://xiazai.sqgame.com[.]cn）。

初始植入：当客户端启动更新时，会下载一个被木马化的mono.dll库文件。该DLL是游戏运行所必需的合法组件，但被攻击者注入了恶意代码。
环境检测与逃避：被篡改的mono.dll中包含一个下载器。执行后，它首先会扫描系统中的进程，查找是否存在安全分析工具或虚拟机环境。一旦发现异常环境，便会停止所有恶意行为，以避免被安全研究员动态分析。
加载RokRAT：若环境安全，下载器会从受控的韩国网站下载加密的Shellcode，并在内存中释放经典的RokRAT远控木马。
部署BirdCall：RokRAT作为前哨，会进一步下载并部署功能更强大、更隐蔽的BirdCall后门（Windows版）。
清理痕迹：攻击完成后，恶意DLL会迅速将自身替换为原始的干净版本，以抹除入侵痕迹，维持长期潜伏。

2.2 Android攻击链：供应链投毒与重打包

在移动端，攻击者展现了其对安卓应用结构的熟悉。由于iOS版本的游戏未受影响，且攻击者并未在官方的Google Play商店传播恶意程序，而是仅在平台官网投毒，这表明攻击具有极强的针对性和资源控制力。

APK重打包：攻击者获取了游戏官网或服务器的权限，下载了“延边红十”等合法游戏的APK安装包，但未获得游戏源代码。他们将恶意代码直接注入到APK文件中，并修改包结构。
劫持入口点：在篡改后的AndroidManifest.xml文件中，应用的启动入口Activity被指向恶意代码（如com.example.zhuagou.SplashScreen）。当用户启动游戏时，后门会先于游戏运行并获取各项权限，随后再启动真正的游戏界面，因此受害者毫无察觉。
隐蔽驻留：该后门不具备开机自启功能，仅依靠用户启动游戏来触发，这也降低了被安全软件主动防御机制拦截的风险。

三、核心恶意软件剖析：BirdCall双平台后门

BirdCall木马是本次行动的核心武器，英文直译为“鸟叫”，但其内部代号为zhuagou，意为“抓狗”。ESET最早于2021年发现Windows版BirdCall，而此次攻击首次曝光了其Android版本，表明该组织在持续进行跨平台的武器库迭代。

以下是ESET报告中列出的恶意样本信息：

发现时间	来源URL	SHA-1哈希值	描述
2025年10月	http://sqgame.com	03E3ECE9F48CF4104AAF	含有BirdCall木马的游戏样本
2025年10月	http://sqgame.com	FC0C691DB7E2D2BD3B0B	含有BirdCall木马的游戏样本

3.1 Windows版BirdCall

它是一个用C++编写的高性能后门，功能极为全面。它具备键盘记录、窃取剪贴板内容、收集浏览器及各类软件中存储的凭据、截取屏幕截图、遍历并窃取指定扩展名文件，以及执行任意Shell命令的能力。

3.2 Android版BirdCall

移动版BirdCall实现了一个间谍功能子集，专为长期情报收集而设计，并表现出高度的定制化特征：

全面窃取隐私数据：它能系统性地收集通讯录、短信、通话记录，并搜索设备存储中的各类文档（如.doc、.pdf、.hwp）、媒体文件和私钥证书文件（.p12），集中打包外传。
环境感知与录音：后门会通过麦克风录制环境音频，但奇特的是，它被硬编码为仅在晚上7点到10点之间进行录音。这个时间段很可能是受害者结束一天工作、回到家中玩游戏的高峰期，此时录音能捕获更多有价值的生活对话。
隐蔽截图技术：在进行屏幕截图时，后门会循环播放一段无声的MP3文件。此举是为了利用安卓系统的机制，欺骗系统认为该应用仍在播放音频，从而防止其在后台运行时被系统挂起或杀死，确保了抓屏任务的顺利执行。
设备信息刺探：它还会收集IMEI、MAC地址、IP地址、操作系统版本、电池温度等，用于识别和追踪特定目标。

此外，Android版BirdCall在ESET的调查中被发现迭代了至少7个版本，最早的版本可追溯到2024年10月，显示出其功能的不断进化。

四、命令与控制（C2）基础设施

ScarCruft在C2通信方面的策略极具欺骗性，依赖对合法云服务的滥用，以绕过基于域名信誉或流量特征的检测。

Windows版：主要通过Dropbox或pCloud等云存储的API进行指令下达和数据回传。
Android版：本次行动主要使用Zoho WorkDrive作为C2中继站。攻击者会在WorkDrive上为每个受害者创建独特的存储空间，后门定期检查该空间中的“指令文件”，同时将被盗数据加密后上传。由于Zoho是常见的商业办公套件，这种流量极易被视为正常的商业行为，成功实现了“隐藏树木于森林”的效果。