مجموعة ScarCruft كتنشر البرمجية الخبيثة BirdCall في Android و Windows عبر منصة ألعاب مخترقة

خلاصة (TL;DR) — مجموعة ScarCruft، لي هي فاعل التهديد تابع لكوريا الشمالية، اخترقات sqgame.net، وهي منصة ديال الألعاب كتستهدف الكوريين لي ساكنين فمنطقة Yanbian فالصين، هادشي باش تنشر ملفات APK ملغمة وتحديثات لـ Windows كتحتوي على البرمجية الخبيثة BirdCall. هاد الحملة، لي تكتشفات فـ أكتوبر 2025 ولكن كيعتاقدو أنها ناشطة من أواخر 2024، كتمثل أول انتشار واسع فـ Android لـ BirdCall، لي هو باب خلفي (backdoor) متطور كان كيركز قبل غير على أهداف Windows. ألعاب Android الملغمة مازالت متاحة للتحميل.

شنو واقع

مجموعة ScarCruft نفذات هجوم على سلسلة التزويد استهدف sqgame.net، لي هي منصة ألعاب فيديو كيستعملوها الكوريين لي عايشين فـ Yanbian فالصين — وهاد المنطقة جات على الحدود مع كوريا الشمالية وروسيا ومعروفة كمنطقة عبور للمنشقين الكوريين الشماليين. هاد الاختراق سمح بنشر BirdCall، وهو باب خلفي (backdoor) متطور مشتق من عائلة البرمجيات الخبيثة RokRAT.

الهجوم استهدف المكونات ديال المنصة فـ Android و Windows بجوج، واخا النطاق كيختلف. بالنسبة لـ Android، مجموعة ScarCruft بدلات صفحات التحميل ديال جوج ألعاب (الموجودين فـ sqgame.com.cn/ybht.apk و sqgame.com.cn/sqybhs.apk) باش تقدم ملفات APK خبيثة. على حساب الباحث الأمني والخبير فالبرمجيات الخبيثة فشركة ESET، Filip Jurčacko، هاد الألعاب ديال Android لي ملغمة بقات متاحة للتحميل ملي تكتشفات الحملة فـ أكتوبر 2025. بيناتما بقاو صفحات التحميل ديال برنامج سطح المكتب (desktop client) لـ Windows وألعاب iOS كيفما هما.

فـ Windows، الأدلة كتبين بلي حزم التحديث (update packages) لي تصيفطات لبرنامج سطح المكتب كانت كتحتوي على ملف DLL ملغم على الأقل من نونبر 2024. هاد الـ DLL كان خدام كأداة تحميل (downloader)، كيقلب فالعمليات لي خدامة (running processes) على أدوات التحليل وبيئات الأجهزة الوهمية قبل ما يجيب وينفذ shellcode كيحتوي على RokRAT. من بعد كيتنصب BirdCall كـ حمولة (payload) تابعة. هاد حزمة التحديث تم الترقيع ديالها مؤخرا وما بقاتش خبيثة.

كيعتاقدو بلي الهجوم بدا فـ أواخر 2024. التحليل ديال تاريخ تطور BirdCall حدد سبعة ديال النسخ مختلفة، وأقدم وحدة فيهم كترجع لـ أكتوبر 2024. هادشي كيمثل توسع كبير فالنطاق ديال BirdCall: حيت النسخ ديال Windows من هاد البرمجية الخبيثة كانت كتدور من 2021، ولكن هاد الهجوم على سلسلة التزويد كيمثل أول توزيع واسع مؤكد فـ Android.

علاش هادشي مهم

هاد الحملة كتدل على تبدل استراتيجي فالنطاق التسييري ديال ScarCruft. هاد المجموعة عندها تاريخ موثق فاستهداف المنشقين الكوريين الشماليين، وناشطي حقوق الإنسان، والأساتذة الجامعيين. التركيز المتعمد على sqgame.net — وهي منصة داخلة فالحياة اليومية ديال الجالية الكورية فـ Yanbian — كيبين اهتمام مستمر بمراقبة الأشخاص لي يقدر يكون عندهم قيمة سياسية أو استخباراتية لكوريا الشمالية.

الانتشار ديال BirdCall فـ Android كيوسع مساحة التهديد بالنسبة للمدافعين فالمنطقة. على عكس بيئات Windows لي فيها أدوات اكتشاف واستجابة نقط النهاية (EDR) متطورة كثر، البرمجيات الخبيثة ديال المراقبة فـ Android غالبا كتفلت من الاكتشاف عبر اختراقات سلسلة التزويد. المستخدمين لي كيحملو الألعاب من منصة كاتبين شرعية كيتعرضو للإصابة بلا ما يلاحظو العلامات التحذيرية العادية ديال تحميل التطبيقات من مصادر غير موثوقة (sideloading).

استخدام خدمات التخزين السحابي الشرعية — بحال Dropbox و pCloud و Yandex Disk و Zoho WorkDrive — باش يديرو اتصالات القيادة والتحكم (command-and-control) كيعقد الاكتشاف عبر الشبكة. المؤسسات مايمكنش ليها تبلوكي هاد الخدمات بسهولة بلا ما تخسر الخدمة العادية. السلسلة المتعددة المراحل ديال الإصابة، لي كتستعمل سكربتات بـ Ruby أو Python ومفاتيح تشفير خاصة بكل جهاز، كاتبين نضج فالتشغيل وكتزيد من التعقيد فعمليات التحليل الجنائي.

بالنسبة لـ أي مطور أو فرق الأمن، هاد الحادث كيأكد على الخطر المستمر ديال اختراق سلسلة التزويد ضد المنصات الإقليمية أو المتخصصة. منصات الألعاب لي كتخدم مجتمعات المهجر كتعتبر أهداف أقل بروز من متاجر التطبيقات الرئيسية، وهادشي كيجعلها غالبا كتاخد اهتمام ومراقبة أقل من طرف الشركات المالكة للمنصات و أي باحث أمني.

الأنظمة المتضررة و CVEs

• ملفات Android APKs ديال sqgame.net (ybht.apk و sqybhs.apk)
• برنامج سطح المكتب ديال sqgame.net فـ Windows (حزم التحديث انطلاقا من نونبر 2024 على الأقل)
• البرمجية الخبيثة BirdCall (سبعة ديال النسخ لي تم تحديدها؛ أول مرة تلاحظات فـ أكتوبر 2024)

حتى لوقت النشر، ماكاين تا شي ثغرة (CVE) مخصصة.

شنو خاصنا نديرو

• تجنبو تحميل الألعاب ولا التطبيقات من sqgame.net. استعملو مصادر بديلة وموثوقة بحال متاجر التطبيقات الرسمية (Google Play Store و Apple App Store).
• إيلا كنتو حملتو ألعاب من sqgame.net، قلبو و ديرو سكان لجهاز Android ديالكم على ملفات APK الخبيثة (ybht.apk و sqybhs.apk) وحيدوهم ديك الساعات.
• بالنسبة لمستخدمين Windows، تأكدو بلي برنامج سطح المكتب ديال sqgame.net كيتم التحديث ديالو غير من المصادر الرسمية. تأكدو بلي تا شي حزمة تحديث نزلات مؤخرا مابقيش فيها ملفات DLL ملغمة.
• راقبوا حركة مرور الشبكة لـ pCloud، Yandex Disk، و Zoho WorkDrive لي كتبداها تطبيقات الألعاب أو عمليات غير معروفة. حاولو تقيدو أو ديرو عزل (sandbox) لهاد الخدمات فين ما كان ممكن.
• طبقو مراقبة على مستوى التطبيقات (application-level monitoring) للمؤشرات السلوكية: التقاط الشاشة، تسجيل ضربات الكيبورد، سرقة الحافظة (clipboard)، تسريب قائمة جهات الاتصال، وتسجيل الصوت المحيطي فأنظمة Android و Windows بجوج.
• بالنسبة للمؤسسات لي عندها مستخدمين فمنطقة Yanbian ولا فمجتمعات المهجر، ديرو تدريبات توعوية مستهدفة على أخطار سلسلة التزويد ومخاطر تحميل التطبيقات من برا المتاجر الرسمية (sideloading).

أسئلة باقة مطروحة

• إمتى بالضبط تم اختراق sqgame.net فالأول، وشنو هو ناقل الهجوم (attack vector) لي تخدم؟
• شحال ديال الوقت وهاد ملفات Android APKs المسمومة كيتوزعو قبل ما يتم الاكتشاف ديالهم فـ أكتوبر 2025؟
• شنو هي المدة الدقيقة ديال تلغيم ملفات DLL فـ Windows من غير فترة "نونبر 2024 على الأقل" المؤكدة؟
• شحال ديال المستخدمين تقاسو، وشنو هو النطاق المؤكد ديال الأجهزة المتضررة؟
• واش الموقع ديال sqgame.net تم الإصلاح ديالو بالكامل، ولا مازالين الملفات الخبيثة كيتوزعو؟
• واش كاين تطبيقات أخرى ديال Android ولا iOS فالمنصة يقدر يكون تم الاختراق ديالها؟

Source

ScarCruft Hacks Gaming Platform to Deploy BirdCall Malware on Android and Windows