ESET a découvert une attaque multiplateforme menée par le groupe APT ScarCruft, lié à la Corée du Nord et ciblant la chaîne d'approvisionnement. L’attaque visait la région de Yanbian, en Chine, où vivent des Coréens et qui est un point de passage pour les réfugiés et transfuges nord-coréens. L’attaque, probablement en cours depuis fin 2024, a compromis les composants Windows et Android d'une plateforme de jeux vidéo dédiée au thème de Yanbian, en y plaçant un cheval de Troie. Celui-ci, baptisé BirdCall par ESET, était d’abord connu pour ne cibler que Windows ; par la suite, sa version Android a été découverte dans le cadre de cette attaque.

La version Android de BirdCall, découverte lors de la dernière attaque, implémente un sous-ensemble des commandes et fonctionnalités de la porte dérobée Windows. Elle collecte les contacts, les SMS, l’historique des appels, les documents, les fichiers multimédias et les clés privées. Elle peut prendre des captures d’écran et enregistrer l’audio ambiant. L’enquête a aussi démontré que pendant plusieurs mois BirdCall pour Android a été activement développé et qu’au moins sept versions furent déployées.

Puisque le site web compromis lors de cette attaque est dédié aux habitants de Yanbian et à leurs jeux traditionnels, ESET a conclu que les cibles principales sont des Coréens de souche vivant à Yanbian. Il est probable que l'attaque collectait des informations sur des personnes résidant à Yanbian ou originaires de la région et jugés d'intérêt par le régime nord-coréen.

Le client Windows de la plateforme de jeux a été compromis par une mise à jour qui a introduit la porte dérobée RokRAT, laquelle a déployé BirdCall, une porte dérobée plus sophistiquée. « Les victimes ont téléchargé les jeux infectés par un cheval de Troie via un navigateur web depuis une page unique sur leurs appareils. Les installations étaient intentionnelles. Nous n'avons identifié aucun autre emplacement de fichier APK ni aucun fichier APK malveillant sur le Google Play Store officiel. Nous n'avons pas pu déterminer la date de la première compromission du site web ni le début de l'attaque. Mais selon notre analyse du maliciel utilisé, nous estimons que cela date de fin 2024 », explique Filip Jur?acko, le chercheur d’ESET qui a découvert la dernière attaque de ScarCruft.

La porte dérobée Windows a été découverte en 2021 et attribuée à ScarCruft dans le rapport ESET sur les menaces (ESET Threat Intelligence). Cette porte dérobée Windows possède de nombreuses fonctionnalités d'espionnage, dont la prise de captures d'écran, l'enregistrement des frappes et du contenu du presse-papiers, le vol d'identifiants et de fichiers ainsi que l'exécution de commandes shell. Pour la fonction de commande et de contrôle, cette porte dérobée utilise du stockage cloud légitimes, tels que Dropbox, pCloud ou des sites web compromis.

ScarCruft, aussi connu sous les noms d'APT37 ou Reaper, est actif depuis au moins 2012. On le soupçonne d'être un groupe d'espionnage nord-coréen. Il cible principalement la Corée du Sud, mais aussi d'autres pays asiatiques. ScarCruft semble s'intéresser d’abord aux organisations gouvernementales et militaires mais aussi aux entreprises de divers secteurs liés aux intérêts de la Corée du Nord. De plus, le groupe cible les transfuges nord-coréens.

Pour plus de détails sur BirdCall, consultez le dernier blog d’ESET Research “A rigged game: ScarCruft compromises gaming platform in a supply-chain attack,”  sur WeLiveSecurity.com. Suivez aussi ESET Research sur Twitter (today known as X), BlueSky  et Mastodon pour les toutes dernières nouvelles.