Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Supply Chain ScarCruft: BirdCall infetta Android e Windows tramite piattaforma di videogiochi Yanbian
Il gruppo di cyber spionaggio ScarCruft, legato alla Corea del Nord, ha condotto un attacco alla supply chain compromettendo una piattaforma di videogiochi e distribuendo il malware BirdCall su Android e Windows. La campagna si concentra su un portale dedicato a giochi a tema Yanbian, area nel nord est della Cina abitata da comunità coreane, scelta considerata coerente con precedenti operazioni contro dissidenti, attivisti e figure accademiche.
L’aspetto più rilevante è la trasformazione di BirdCall in una minaccia multipiattaforma. In passato il backdoor era osservato soprattutto su Windows, mentre l’attacco alla catena di fornitura ha permesso di colpire anche dispositivi Android tramite applicazioni apparentemente legittime pubblicate sul sito. Questo approccio aumenta la probabilità di infezione perché sfrutta la fiducia degli utenti verso un servizio conosciuto, riducendo la necessità di phishing tradizionale.
BirdCall include funzionalità tipiche dei backdoor usati per sorveglianza e furto dati. Su Windows può eseguire comandi da remoto, registrare tasti, catturare schermate e sottrarre contenuti dagli appunti. Un elemento chiave è l’uso di servizi cloud legittimi come canali di comando e controllo e per l’esfiltrazione, rendendo più complessa la rilevazione basata su domini sospetti. La catena di infezione su Windows può prevedere più stadi e componenti cifrati con chiavi legate al sistema, tecnica utile a ostacolare analisi e riuso dei payload.
La variante Android osservata nell’attacco alla supply chain raccoglie un insieme mirato di informazioni sensibili come contatti, SMS, registro chiamate, file multimediali e documenti, oltre a screenshot e registrazioni audio ambientali. Anche qui la comunicazione con i server di controllo sfrutta servizi cloud diffusi, tra cui pCloud, Yandex Disk e Zoho WorkDrive, evidenziando un trend crescente nell’abuso di piattaforme note per mascherare il traffico malevolo.
L’avvelenamento dei pacchetti non avrebbe coinvolto in modo uniforme tutti i componenti. Le evidenze indicano APK Android modificati distribuiti tramite pagine di download alterate, mentre il client desktop Windows e i giochi iOS non risultano colpiti nello stesso modo. Per Windows è stato inoltre segnalato un aggiornamento che in un periodo precedente avrebbe consegnato una DLL trojanizzata capace di verificare la presenza di strumenti di analisi o ambienti virtuali e poi scaricare codice aggiuntivo, aprendo la strada all’installazione del backdoor.