朝鮮黑客盯上延邊游戲平臺(tái)：一次多平臺(tái)供應(yīng)鏈攻擊復(fù)盤

2024年11月，一個(gè)普通的游戲更新包正在延邊地區(qū)的玩家電腦里靜默運(yùn)行。沒人注意到，這款主打朝鮮族傳統(tǒng)棋牌游戲的本地平臺(tái)，已經(jīng)變成了國家級(jí)黑客組織的監(jiān)控工具。

被"借殼"的本土游戲平臺(tái)

sqgame是服務(wù)中國延邊朝鮮族自治州的游戲平臺(tái)，主打朝鮮族傳統(tǒng)主題的棋牌游戲，覆蓋Windows、Android和iOS三端。這個(gè)地區(qū)的特殊之處在于：它與朝鮮接壤，擁有朝鮮半島以外最大的朝鮮族聚居社區(qū)，同時(shí)也是脫北者的重要過境通道。

攻擊者沒有直接攻破游戲源代碼。他們選擇了一條更隱蔽的路徑——入侵平臺(tái)的網(wǎng)絡(luò)服務(wù)器，在原始Android游戲文件外層重新打包惡意代碼。這種手法讓惡意程序披著正版應(yīng)用的外衣流通，用戶從官網(wǎng)下載時(shí)幾乎無法察覺異常。

sqgame網(wǎng)站上的兩款A(yù)ndroid游戲被植入BirdCall后門，Windows客戶端則通過惡意更新包中招。iOS版本目前未發(fā)現(xiàn)被篡改跡象，ESET研究人員推測這與蘋果嚴(yán)格的應(yīng)用審核機(jī)制有關(guān)。

時(shí)間線：從首次感染到全面暴露

ESET的遙測數(shù)據(jù)鎖定了攻擊起點(diǎn)：2024年11月，惡意Windows更新包開始活躍。這個(gè)更新包投遞的是RokRAT——ScarCruft組織使用多年的第一階段后門。RokRAT落地后，會(huì)進(jìn)一步釋放功能更強(qiáng)的BirdCall后門。

2024年底至2025年初，攻擊持續(xù)發(fā)酵。Android端的BirdCall后門通過"抓狗"（zhuagou，內(nèi)部代號(hào)）模塊擴(kuò)散，與Windows端形成跨平臺(tái)監(jiān)控網(wǎng)絡(luò)。

2025年12月，ESET向sqgame運(yùn)營方發(fā)出入侵通知。截至報(bào)告發(fā)布，未收到任何回應(yīng)。

WeLiveSecurity分析團(tuán)隊(duì)完成了這次多平臺(tái)供應(yīng)鏈攻擊的完整溯源，以高置信度將行動(dòng)歸因于ScarCruft。他們同時(shí)指出，Android版BirdCall是該組織武器庫中的新成員，本次分析是這款工具的首次公開技術(shù)拆解。

Android后門的"寄生"邏輯

被篡改的Android安裝包（APK）在AndroidManifest.xml文件上做了手腳。這個(gè)配置文件原本負(fù)責(zé)聲明應(yīng)用的組件和權(quán)限，現(xiàn)在被重定向到后門代碼的入口。

用戶點(diǎn)擊游戲圖標(biāo)時(shí)，啟動(dòng)流程被劫持：后門代碼先靜默執(zhí)行，完成數(shù)據(jù)收集后再將控制權(quán)交還給正常游戲界面。整個(gè)感染過程對(duì)用戶完全透明——游戲能正常打開、能正常玩，但后臺(tái)已經(jīng)開始了持續(xù)監(jiān)控。

首次運(yùn)行時(shí)，后門會(huì)執(zhí)行三項(xiàng)核心操作：掃描共享存儲(chǔ)的完整目錄結(jié)構(gòu)、提取通訊錄、拉取通話記錄和短信內(nèi)容。這些數(shù)據(jù)通過硬編碼的云存儲(chǔ)憑證外傳，無需與攻擊者服務(wù)器直接握手，降低了網(wǎng)絡(luò)層面的暴露風(fēng)險(xiǎn)。

Windows端的攻擊鏈路同樣經(jīng)過精心設(shè)計(jì)。RokRAT作為"先遣部隊(duì)"突破防線，評(píng)估目標(biāo)價(jià)值后再?zèng)Q定是否升級(jí)部署B(yǎng)irdCall。這種分級(jí)投遞策略既控制了攻擊成本，也減少了高價(jià)值工具被過早暴露的可能性。

ScarCruft的"地緣情報(bào)"生意

ScarCruft在業(yè)界有多個(gè)追蹤代號(hào)：APT37、Reaper。這個(gè)組織至少從2012年開始活動(dòng)，被普遍認(rèn)定為朝鮮國家級(jí)網(wǎng)絡(luò)間諜力量。其核心任務(wù)是為平壤收集戰(zhàn)略情報(bào)，傳統(tǒng)目標(biāo)包括韓國政府機(jī)構(gòu)、軍事單位和涉朝利益產(chǎn)業(yè)。

延邊地區(qū)進(jìn)入其視野并不意外。這里是中朝邊境的關(guān)鍵節(jié)點(diǎn)，生活著大量與朝鮮半島有血緣、文化、經(jīng)濟(jì)紐帶的人群。對(duì)于關(guān)注脫北者動(dòng)向、跨境人員流動(dòng)、民間輿論的朝鮮情報(bào)部門而言，滲透這個(gè)社區(qū)的游戲平臺(tái)是高效的信息采集渠道。

棋牌游戲的社交屬性放大了情報(bào)價(jià)值。玩家通訊錄可能包含跨境親屬關(guān)系，短信記錄可能暴露資金往來渠道，存儲(chǔ)文件可能涉及身份文檔。這些碎片拼湊起來，就是完整的人員畫像。

供應(yīng)鏈攻擊的"降維"打法

這次行動(dòng)展示了國家級(jí)黑客組織如何將供應(yīng)鏈攻擊"輕量化"。傳統(tǒng)認(rèn)知中，供應(yīng)鏈攻擊指向SolarWinds級(jí)別的軟件巨頭入侵——投入大、周期長、影響廣。ScarCruft選擇了一個(gè)區(qū)域性的垂直平臺(tái)，用相對(duì)低成本的Web服務(wù)器入侵，實(shí)現(xiàn)了精準(zhǔn)的地理和人群定向。

游戲作為攻擊載體有幾個(gè)隱蔽優(yōu)勢(shì)：更新頻率高，用戶對(duì)版本變化不敏感；社交屬性強(qiáng)，天然需要通訊錄等敏感權(quán)限；休閑場景下，安全警惕性被進(jìn)一步稀釋。更重要的是，這類本土平臺(tái)往往缺乏企業(yè)級(jí)安全響應(yīng)能力——ESET的通報(bào)石沉大海就是例證。

跨平臺(tái)覆蓋是另一個(gè)值得注意的趨勢(shì)。Windows端抓辦公場景，Android端抓移動(dòng)社交，iOS端因技術(shù)門檻暫時(shí)豁免。這種"全渠道"思維讓單一設(shè)備的清潔無法阻斷監(jiān)控鏈條，用戶在游戲賬號(hào)、社交關(guān)系、設(shè)備生態(tài)之間無縫切換時(shí)，攻擊者也在同步收割。

為什么這件事值得產(chǎn)品人關(guān)注

第一，攻擊面正在向"長尾應(yīng)用"轉(zhuǎn)移。不是每個(gè)產(chǎn)品都有SolarWinds的體量，但每個(gè)產(chǎn)品都可能成為特定人群的"關(guān)鍵基礎(chǔ)設(shè)施"。區(qū)域化、垂直化、社區(qū)化的產(chǎn)品尤其需要重新評(píng)估自身在攻擊者眼中的戰(zhàn)略價(jià)值。

第二，權(quán)限模型需要重新設(shè)計(jì)。Android版BirdCall的感染依賴用戶對(duì)游戲應(yīng)用的基本授權(quán)——存儲(chǔ)、通訊錄、短信。這些權(quán)限在棋牌游戲場景下看似合理，卻構(gòu)成了完整的監(jiān)控拼圖。產(chǎn)品如何在功能需求與隱私最小化之間找到新平衡點(diǎn)，是下一個(gè)設(shè)計(jì)命題。

第三，供應(yīng)鏈安全的責(zé)任邊界在模糊。sqgame并非惡意代碼的編寫者，但其分發(fā)渠道被劫持后，用戶信任瞬間轉(zhuǎn)化為傷害來源。對(duì)于依賴第三方SDK、云存儲(chǔ)、更新服務(wù)的產(chǎn)品而言，這次攻擊是一記警鐘：你的安全鏈條有多長，攻擊者的入口就有多寬。

如果你負(fù)責(zé)的產(chǎn)品服務(wù)特定地理或文化社群，建議立即做三件事：審計(jì)所有分發(fā)渠道的訪問日志，排查非預(yù)期的文件修改時(shí)間戳；檢查更新包的簽名驗(yàn)證機(jī)制，確保客戶端拒絕未經(jīng)認(rèn)證的版本；重新梳理權(quán)限申請(qǐng)清單，對(duì)"合理但過度"的授權(quán)請(qǐng)求保持警覺。供應(yīng)鏈攻擊不會(huì)只發(fā)生在 headlines 里的大公司身上——你的用戶規(guī)模越小，被定向盯上的風(fēng)險(xiǎn)可能越高。