I cybercriminali nordcoreani di ScarCruft (noti anche come APT37) hanno orchestrato un sofisticato attacco supply-chain contro la piattaforma di gaming sqgame.net, prendendo di mira la vasta comunità di etnia coreana residente nella prefettura autonoma dello Yanbian, in Cina. Secondo l’analisi pubblicata da ESET, gli hacker hanno infettato gli installer Windows e gli APK Android di popolari giochi tradizionali per distribuire in modo invisibile la backdoor BirdCall (che per l’occasione ha sfoggiato un’inedita e insidiosa variante mobile battezzata zhuagou). Sfruttando tecniche avanzate di evasione, steganografia e “pulizia automatica”, il malware si attiva silenziosamente dopo l’installazione del gioco per esfiltrare documenti, rubare contatti e messaggi, arrivando persino a catturare screenshot e registrare l’audio ambientale per spiare i movimenti di potenziali disertori o dei loro familiari. La campagna, in corso almeno dalla fine del 2024, conferma come l’intrattenimento digitale sia ormai un vettore privilegiato per lo spionaggio mirato di Stato.
Cosa leggere
ScarCruft usa sqgame.net per colpire la comunità coreana di Yanbian
ScarCruft sfrutta sqgame.net, piattaforma dedicata a giochi tradizionali della regione Yanbian, per distribuire malware a utenti Windows e Android. Il bersaglio appare coerente con gli interessi storici del gruppo nordcoreano, che ha spesso preso di mira disertori, attivisti, professori universitari e comunità considerate sensibili dal regime di Pyongyang. Yanbian, al confine con la Corea del Nord, ospita una grande popolazione coreana etnica e rappresenta un’area di passaggio rilevante per rifugiati e disertori. Secondo l’analisi di ESET, la campagna è in corso dalla fine del 2024 e ha trasformato download apparentemente legittimi in vettori di sorveglianza. La scelta di una piattaforma di gaming locale aumenta l’efficacia dell’operazione, perché gli utenti si fidano dei download ufficiali e installano i giochi senza sospettare la compromissione.
L’attacco supply-chain modifica APK e update senza codice sorgente
L’operazione non sembra basarsi sull’accesso al codice sorgente dei giochi, ma sulla compromissione della distribuzione. Su Android, gli attaccanti ripacchettano APK legittimi come Yanbian Red Ten e New Drawing, modificando AndroidManifest.xml per indirizzare l’activity iniziale verso la backdoor prima di avviare il gioco reale. L’esperienza utente resta quindi quasi invariata, mentre il malware si inizializza in background. Su Windows, il client iniziale appare pulito, ma un pacchetto di aggiornamento distribuito da xiazai.sqgame.com[.]cn contiene un mono.dll trojanizzato. Il downloader integrato verifica la presenza di ambienti di analisi o macchine virtuali, scarica shellcode da siti compromessi e consegna componenti legati a RokRAT e BirdCall. La tecnica di self-cleaning sostituisce poi la DLL malevola con una copia pulita, riducendo le tracce visibili dell’infezione.
BirdCall diventa una minaccia multi-piattaforma su Windows e Android
BirdCall è il payload principale della campagna e rappresenta l’evoluzione di un toolkit già associato a ScarCruft. La versione Windows, collegata a RokRAT, permette screenshot, keylogging, furto della clipboard, esfiltrazione file, raccolta credenziali ed esecuzione di comandi. La novità più rilevante riguarda la variante Android, indicata internamente come zhuagou, che trasforma BirdCall in una minaccia multi-piattaforma. ESET ha identificato almeno sette versioni della backdoor mobile, dalla v1.0 di ottobre 2024 alla v2.0 di giugno 2025, segno di sviluppo attivo e iterativo. La backdoor Android non implementa tutte le funzioni della controparte Windows, ma offre capacità sufficienti per sorveglianza persistente, raccolta dati personali e controllo dell’ambiente dispositivo.
Zhuagou raccoglie contatti, SMS, documenti e registrazioni vocali
La variante Android zhuagou raccoglie contatti, SMS, log chiamate, elenchi directory, dati del dispositivo, indirizzo IP, informazioni su batteria, RAM, storage, stato root e versione del sistema operativo. Il malware cerca inoltre file con estensioni rilevanti, tra cui documenti, immagini, certificati e file potenzialmente sensibili come .doc, .pdf, .hwp, .jpg e .p12. I dati vengono compressi, cifrati ed esfiltrati tramite servizi cloud legittimi. La backdoor può acquisire screenshot e registrare audio, con limitazioni temporali programmate per ridurre sospetti e consumo anomalo di risorse. La registrazione vocale nelle ore serali indica un’attenzione specifica ai momenti in cui gli utenti potrebbero trovarsi in ambienti privati. Questo insieme di funzionalità rende zhuagou uno spyware mobile adatto alla sorveglianza mirata più che a infezioni opportunistiche di massa.
ScarCruft sfrutta cloud legittimi per comando e controllo
La campagna utilizza servizi cloud legittimi come pCloud, Yandex Disk e soprattutto Zoho WorkDrive per le comunicazioni di comando e controllo. Questa scelta complica il blocco difensivo perché il traffico verso piattaforme note può sembrare normale in molti ambienti aziendali o personali. Gli operatori usano account multipli per distribuire configurazioni, ricevere dati esfiltrati e aggiornare componenti. L’abuso di cloud storage rientra in una tecnica già osservata in precedenti operazioni ScarCruft, dove servizi legittimi vengono usati per nascondere infrastrutture C2 dietro domini affidabili. Per i difensori, il punto chiave non è bloccare genericamente questi servizi, ma monitorare pattern anomali, accessi da app non autorizzate, trasferimenti verso account sconosciuti e connessioni generate da processi legati ai giochi sqgame.
Steganografia e pulizia automatica rendono l’attacco più furtivo
ScarCruft utilizza tecniche di evasione, steganografia e cancellazione delle tracce per rendere l’attacco più difficile da rilevare. Su Windows, il downloader controlla la presenza di tool di analisi e ambienti virtualizzati prima di eseguire il payload. Dopo l’infezione, il componente trojanizzato può essere sostituito da una versione pulita di mono.dll, riducendo la probabilità che un controllo manuale individui il file compromesso. Su Android, la configurazione può essere aggiornata tramite immagini JPG con dati cifrati in overlay steganografico, scaricate da siti sudcoreani compromessi. Questa combinazione permette agli attaccanti di nascondere comandi e aggiornamenti in file apparentemente innocui. L’obiettivo è mantenere persistenza e accesso remoto senza generare segnali evidenti per l’utente o per strumenti di sicurezza basati su firme statiche.
Il targeting di Yanbian rivela finalità di intelligence nordcoreana
La scelta di Yanbian non appare casuale. La regione ospita la più grande comunità coreana etnica fuori dalla penisola e si trova in una posizione geopolitica sensibile, vicino al confine nordcoreano e alle rotte percorse da rifugiati e disertori. ScarCruft può usare i giochi locali come canale di sorveglianza per raccogliere informazioni su persone di interesse, reti sociali, contatti, documenti e comunicazioni. La piattaforma sqgame.net distribuisce giochi culturali e regionali, quindi intercetta un pubblico coerente con gli obiettivi dell’operazione. Questo elemento mostra come gli attori sponsorizzati da stati adattino le campagne a contesti locali specifici, sfruttando abitudini quotidiane e strumenti di intrattenimento per ottenere accesso a informazioni sensibili. Il gaming diventa così un vettore di intelligence, non solo un bersaglio criminale.
Timeline e indicatori di compromissione aiutano il threat hunting
L’operazione sembra iniziare alla fine del 2024, con prime versioni Android di BirdCall osservate a ottobre e pacchetti Windows malevoli attivi almeno da novembre. ESET ha pubblicato l’analisi il 5 maggio 2026 e ha indicato che la campagna risultava ancora rilevante al momento della disclosure. Tra gli indicatori di compromissione figurano domini come www.sqgame[.]net, xiazai.sqgame.com[.]cn, siti sudcoreani compromessi usati per payload e file di pulizia, oltre a connessioni verso Zoho WorkDrive, pCloud e Yandex Disk. Gli amministratori devono cercare download di giochi sqgame tra fine 2024 e maggio 2026, APK ripacchettati, DLL mono.dll anomale, processi del client sqgame con comportamento sospetto e traffico cloud non coerente con l’uso previsto.
Rischi per utenti Android, Windows e piattaforme di gaming locali
Gli utenti Android risultano particolarmente esposti perché installano manualmente APK scaricati dal sito, fuori dal controllo di Google Play. Questo modello consente agli attaccanti di distribuire app ripacchettate senza passare dai meccanismi di verifica dello store ufficiale. Su Windows, invece, il rischio deriva dal sistema di aggiornamento e dalla sostituzione temporanea di DLL legittime. La campagna mostra che anche piattaforme di gaming locali e apparentemente marginali possono diventare target strategici quando servono comunità di interesse geopolitico. Per sviluppatori e gestori di siti, il caso sqgame.net evidenzia la necessità di firme digitali, controlli di integrità sugli update, monitoraggio dei pacchetti distribuiti e risposte rapide alle notifiche dei ricercatori. La mancanza di reazione da parte della piattaforma dopo l’avviso di ESET aggrava il rischio per gli utenti.
Raccomandazioni operative per utenti e organizzazioni esposte
Gli utenti che hanno scaricato giochi da sqgame.net tra fine 2024 e maggio 2026 devono disinstallare le app sospette, eseguire scansioni con strumenti aggiornati e verificare permessi, traffico cloud e comportamenti anomali del dispositivo. Su Android è opportuno controllare app con accesso a contatti, SMS, microfono, storage e screenshot, mentre su Windows occorre analizzare il client sqgame, la presenza di mono.dll alterati e connessioni verso domini o cloud non autorizzati. Le organizzazioni che operano nella regione Yanbian o supportano comunità coreane etniche dovrebbero introdurre policy di download controllato, blocco degli APK non verificati e regole EDR specifiche sugli IoC pubblicati. Il threat hunting deve combinare log DNS, proxy, endpoint e cloud, perché BirdCall usa infrastrutture legittime per rendere meno visibile il comando e controllo.
ScarCruft conferma l’evoluzione dello spionaggio supply-chain
La campagna contro sqgame.net conferma che ScarCruft continua a evolvere tecniche, payload e targeting. L’uso combinato di supply-chain compromise, backdoor multi-piattaforma, cloud legittimi, steganografia e self-cleaning mostra una maturità operativa elevata. L’obiettivo non è la monetizzazione immediata, ma la raccolta silenziosa di informazioni su comunità sensibili. Questo distingue l’operazione dalle campagne cybercriminali più comuni e la colloca nel perimetro dello spionaggio statale. Per il settore sicurezza, il caso dimostra che la protezione della supply-chain non riguarda solo grandi vendor software, ma anche piattaforme locali, siti di intrattenimento e app distribuite fuori dagli store ufficiali. La fiducia degli utenti verso un download “ufficiale” può diventare il vettore più efficace per un’operazione APT.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
