Die Cybersicherheitsfirma ESET hat eine groß angelegte Spionagekampagne aufgedeckt, bei der die nordkoreanische Hackergruppe ScarCruft gezielt eine Gaming-Plattform für ethnische Koreaner in der chinesischen Grenzregion kompromittiert hat. Die Attacke richtete sich gegen sqgame[.]net, eine Plattform mit Spielen mit Yanbian-Thematik, die von der lokalen koreanischen Bevölkerung genutzt wird – einer Region mit hoher Bedeutung für nordkoreanische Fluchtrouten.
Die Angreifer trojanisierten sowohl Android- als auch Windows-Komponenten der Plattform mit BirdCall, einer weiterentwickelten Version der bekannten RokRAT-Malware. Bislang war BirdCall in Windows-Versionen bekannt; die aktuelle Kampagne zeigt jedoch erstmals eine Android-Variante in freier Wildbahn. Die Attacke soll seit Ende 2024 andauern.
BirdCall verfügt über umfassende Spionagefunktionen: Screenshot-Erfassung, Keystroke-Logging, Clipboard-Diebstahl, Shell-Kommandoausführung und Datenabgriff. Besonders bemerkenswert ist die Multi-Plattform-Strategie – die Malware-Familie wurde über Jahre hinweg für Windows, macOS (als CloudMensis), und Android (als RambleOn) angepasst. Die Entwickler nutzen legitime Cloud-Services wie Dropbox, pCloud und Yandex Disk zur Kommunikation mit Kommando-Servern.
Die Android-Variante sammelt gezielt Kontaktlisten, SMS-Nachrichten, Anrufprotokolle, Mediendateien, Dokumente, Screenshots und Ambient-Audio. Sieben verschiedene Versionen wurden seit Oktober 2024 identifiziert. Interessanterweise war nur die Android-Version auf sqgame[.]net vergiftet – Windows- und iOS-Komponenten blieben unberührt.
Die Windows-Desktop-Version erhielt mindestens seit November 2024 Trojaner-Updates mit einem Downloader, der vor der Ausführung nach Analyse-Tools und virtuellen Maschinen sucht. Wurde keine erkannt, lädt er RokRAT herunter, das wiederum BirdCall installiert.
Die Wahl des Ziels ist strategisch: ScarCruft hat eine lange Geschichte der Verfolgung nordkoreanischer Defektanten, Menschenrechtsaktivisten und Akademiker. Die Kompromittierung einer vertrauenswürdigen Gaming-Plattform ermöglicht maximale Reichweite bei minimaler Verdachtserregung – ein klassisches Lieferketten-Angriffsszenario.
Für deutsche Sicherheitsbehörden und Unternehmen ist die Kampagne ein Indikator für die wachsende Raffinesse staatlicher Hackergruppen. Während dieser Angriff auf China ausgerichtet ist, demonstriert er Techniken, die auch gegen europäische Ziele angewendet werden könnten. Das BSI wird solche Entwicklungen in seinen Trendberichten dokumentieren.