ScarCruft infetta piattaforma gaming per spiare coreani in Cina: attacco multi-piattaforma

Una piattaforma di giochi per coreani in Cina infettata da ScarCruft per spionaggio

Una piattaforma di giochi tradizionali per coreani in Cina è stata compromessa da ScarCruft (APT37), gruppo legato alla Corea del Nord, per spiare rifugiati e disertori. L'attacco, attivo dal tardo 2024, sfrutta aggiornamenti malevoli per distribuire backdoor come RokRAT e BirdCall.

Risposta Rapida

ScarCruft ha compromesso sqgame[.]net per distribuire malware a coreani in Cina. L'attacco utilizza aggiornamenti malevoli per installare RokRAT e BirdCall. L'impianto Android zhuagou raccoglie dati sensibili e supporta screenshot e registrazioni audio. La campagna mira a rifugiati e disertori nordcoreani.

Tecnica di compromissione: aggiornamenti malevoli e backdoor sofisticati

Il sito sqgame[.]net ospita giochi tradizionali per coreani in Cina, molti dei quali rifugiati o disertori. L'attacco inizia con un aggiornamento malevolo ospitato su xiazai.sqgame.com[.]cn, che modifica una libreria legittima (mono.dll) per installare un downloader. Questo downloader scarica shellcode da siti sudcoreani compromessi, che a loro volta distribuiscono il backdoor RokRAT e l'impianto BirdCall.

Android: giochi ripacchettati e backdoor zhuagou

Due dei tre giochi Android disponibili sul sito erano stati ripacchettati con codice malevolo: Yanbian Red Ten e New Drawing. Gli aggressori hanno modificato il file AndroidManifest.xml per reindirizzare l'attività principale al backdoor prima di avviare il gioco originale. L'impianto Android, chiamato zhuagou ("catturare cani"), è una versione portata del backdoor BirdCall per Windows e implementa un sottoinsieme dei suoi comandi.

Funzionalità avanzate di zhuagou: raccolta dati e controllo remoto

L'impianto Android raccoglie contatti, registri delle chiamate, SMS e elenchi di directory dello storage esterno al primo avvio. Successivamente, scansiona il dispositivo alla ricerca di file con estensioni specifiche, tra cui documenti Office, PDF, immagini e file audio. L'impianto supporta anche screenshot tramite l'API startForeground di Android e registrazioni audio tra le 19:00 e le 24:00, orario locale.

Comunicazione con il comando e controllo: account Zoho e codifica

Il traffico di comando e controllo dell'impianto Android utilizza HTTPS per comunicare con account Zoho WorkDrive. ESET ha osservato dodici account di questo tipo, tutti registrati con indirizzi zohomail. Il codice dell'impianto supporta anche pCloud e Yandex Disk, anche se questi non erano attivi durante l'indagine. I comandi decifrati iniziano con il valore magico 0x2A7B4C33, corrispondente alla variante per Windows.

Stato della campagna e implicazioni per la sicurezza

Al momento della pubblicazione, il pacchetto di aggiornamento malevolo sul sito sqgame non era più attivo, ma gli APK Android rimanevano disponibili. ESET ha notificato sqgame della compromissione a dicembre 2025, ma non ha ricevuto risposta. La campagna presenta un profilo coerente con le precedenti operazioni di ScarCruft contro disertori nordcoreani e obiettivi sudcoreani.

Protezione e mitigazione: come difendersi da questo tipo di attacco

Gli utenti che hanno scaricato giochi da sqgame[.]net dovrebbero eseguire una scansione completa del sistema alla ricerca di malware e considerare la rimozione di eventuali giochi installati da questa piattaforma. È fondamentale mantenere aggiornati i software di sicurezza e adottare pratiche di navigazione sicura, come evitare di scaricare applicazioni da fonti non ufficiali.

geopolitico: ScarCruft e l'espansione delle operazioni nordcoreane

ScarCruft, noto anche come APT37 o Reaper, è un gruppo di hacking legato alla Corea del Nord attivo almeno dal 2012. Questo gruppo è noto per i suoi attacchi mirati contro obiettivi sudcoreani, tra cui il governo e l'esercito. La campagna descritta in questo articolo evidenzia l'espansione delle operazioni di ScarCruft, che ora includono il targeting di rifugiati e disertori nordcoreani in Cina.

Implicazioni per la sicurezza informatica globale

La compromissione di sqgame[.]net sottolinea l'importanza di monitorare le minacce avanzate e persistenti (APT) e di adottare misure di sicurezza informatica robuste per proteggere gli utenti da attacchi sofisticati. Gli analisti di sicurezza dovrebbero prestare attenzione a simili campagne di spionaggio e collaborare per condividere informazioni e migliorare le capacità di difesa contro queste minacce.

Analisi tecnica approfondita: il ruolo di mono.dll e l'evading

Un aspetto particolarmente interessante della campagna è l'uso strategico di mono.dll, un componente legittimo del framework Mono che viene manipolato per ospitare il codice malevolo. Dopo l'esecuzione del payload, il sistema rimpiazza la versione compromessa con una pulita scaricata da un altro sito coreano compromesso. Questo processo di "pulizia" è un tentativo sofisticato di evading, che rende più difficile per gli analisti rilevare l'attacco attraverso le tecniche tradizionali di forensica digitale. La manipolazione di componenti legittimi è una pratica sempre più comune tra gli attori avanzati, poiché consente di mascherare le attività malevole all'interno di processi apparentemente normali.

Il targeting specifico: perché i rifugiati nordcoreani?

La scelta di mirare a rifugiati e disertori nordcoreani in Cina non è casuale. Questi individui rappresentano un tesoro di informazioni per gli operatori di intelligence nordcoreani. Molti di loro potrebbero avere contatti ancora attivi all'interno della Corea del Nord o con organizzazioni di supporto ai rifugiati. Le informazioni raccolte tramite zhuagou potrebbero includere dettagli su reti di supporto, piani di fuga, o persino informazioni sensibili su dissidenti politici. Inoltre, il targeting di questa comunità specifica suggerisce un interesse strategico di Pyongyang nel monitorare e potenzialmente influenzare le attività dei rifugiati, che potrebbero rappresentare una minaccia per il regime.

Implicazioni per la privacy degli utenti: raccolta di dati sensibili

La raccolta di dati operata da zhuagou va ben oltre le semplici informazioni di contatto. L'impianto è progettato per acquisire una vasta gamma di file, inclusi documenti Office, PDF, immagini e file audio. Questo tipo di raccolta massiva potrebbe essere utilizzato non solo per scopi di intelligence, ma anche per costruire profili dettagliati degli utenti, che potrebbero essere sfruttati per attività di social engineering o phishing più mirati. La capacità di eseguire screenshot e registrazioni audio aggiunge un ulteriore livello di invasione della privacy, permettendo agli attaccanti di ottenere informazioni in tempo reale sull'attività degli utenti.

La sfida della mitigazione: perché gli utenti sono ancora a rischio

Anche se il pacchetto di aggiornamento malevolo non era più attivo al momento della pubblicazione, gli APK Android rimanevano disponibili sul sito. Questo rappresenta una significativa lacuna nella mitigazione dell'attacco. Molti utenti potrebbero non essere a conoscenza della compromissione e continuare a utilizzare le applicazioni infette. Inoltre, la mancanza di risposta da parte di sqgame alla notifica di ESET suggerisce una possibile mancanza di risorse o competenze per affrontare efficacemente la minaccia. Gli utenti dovrebbero quindi adottare misure proattive, come verificare l'integrità delle applicazioni installate e monitorare l'attività sospetta sul dispositivo.

L'evoluzione delle tattiche: da Windows a Android

La transizione di ScarCruft da attacchi principalmente basati su Windows a campagne che includono anche piattaforme Android rappresenta un'evoluzione significativa nelle loro tattiche. L'impianto zhuagou dimostra che il gruppo è in grado di adattare i propri strumenti a nuovi ambienti, mantenendo al contempo funzionalità avanzate come la raccolta di dati e il controllo remoto. Questo adattamento è cruciale per mantenere l'efficacia degli attacchi in un panorama tecnologico in continua evoluzione, dove gli utenti stanno sempre più passando a dispositivi mobili per le loro attività quotidiane.

Collaborazione internazionale: la necessità di una risposta congiunta

La natura transfrontaliera di questo attacco sottolinea l'importanza della collaborazione internazionale nella lotta alle minacce informatiche. Gli attacchi di ScarCruft contro rifugiati nordcoreani in Cina coinvolgono attori in più giurisdizioni, rendendo difficile per un singolo paese affrontare la minaccia in modo efficace. La condivisione di informazioni tra agenzie di intelligence, ricercatori di sicurezza e piattaforme tecnologiche è essenziale per sviluppare strategie di difesa coordinate. Inoltre, la comunità internazionale dovrebbe considerare misure diplomatiche per pressionare la Corea del Nord a cessare le sue attività di hacking, che rappresentano una violazione delle norme internazionali.

Lezioni apprese: come migliorare la sicurezza degli utenti

Questo caso offre importanti lezioni per migliorare la sicurezza degli utenti, in particolare quelli che appartengono a comunità vulnerabili. È fondamentale educare gli utenti sui rischi di scaricare applicazioni da fonti non ufficiali e sull'importanza di verificare l'integrità dei file scaricati. Le piattaforme di distribuzione di software dovrebbero implementare misure di sicurezza più robuste, come la firma digitale degli aggiornamenti e il monitoraggio continuo delle attività sospette. Inoltre, gli utenti dovrebbero essere incoraggiati a utilizzare strumenti di sicurezza avanzati, come soluzioni di rilevamento delle intrusioni e software antivirus, per proteggersi da attacchi sofisticati.

Il futuro delle minacce APT: previsioni e preparazione

La campagna di ScarCruft contro sqgame[.]net suggerisce che le minacce APT continueranno a evolversi, adottando nuove tattiche e tecnologie per eludere le difese degli utenti. Le organizzazioni e gli individui dovrebbero prepararsi per un aumento delle campagne di spionaggio mirate, in particolare contro comunità vulnerabili o obiettivi strategici. Investire in capacità di rilevamento e risposta avanzate, come l'intelligence sulle minacce e l'analisi del comportamento, sarà cruciale per affrontare le sfide future. Inoltre, la comunità della sicurezza informatica dovrebbe continuare a collaborare per condividere conoscenze e sviluppare soluzioni innovative per contrastare le minacce emergenti.

Nota Editoriale e Disclaimer

Le guide e i contenuti pubblicati su GoYou sono frutto di attività di ricerca e analisi indipendente, a scopo informativo, educativo e di approfondimento.

GoYou non costituisce una testata giornalistica né un prodotto editoriale ai sensi della Legge n. 62/2001 e non svolge attività di informazione in tempo reale.

Il progetto GoYou non fornisce consulenza professionale, tecnica, legale o finanziaria e declina ogni responsabilità per l’uso improprio delle informazioni pubblicate.

Nel settore Crypto, ogni investimento comporta rischi: si invita il lettore a informarsi sempre in modo autonomo prima di assumere qualsiasi decisione.