Ataque à cadeia de distribuição do site sqgame[.]net entregou APKs Android trojanizados e, por período não especificado, uma DLL Windows modificada para instalar RokRAT e BirdCall.
| Componente | Plataforma de jogos sqgame[.]net, APKs Android trojanizados, pacote de atualização Windows com DLL modificada e backdoor BirdCall. |
| Vetor | Comprometimento de componentes de distribuição da plataforma, com páginas de download de dois jogos Android alteradas para servir APKs maliciosos e pacote Windows que entregou DLL trojanizada desde pelo menos novembro de 2024. |
| Impacto | Coleta de contatos, mensagens SMS, registros de chamadas, arquivos de mídia, documentos, capturas de tela, áudio ambiente, conteúdo de área de transferência, teclas digitadas e execução de comandos em hosts comprometidos. |
| Prioridade | Remover instalações obtidas de sqgame[.]net, preservar amostras e logs, investigar tráfego para serviços de armazenamento em nuvem usados como C2 e revisar endpoints Windows e Android expostos à plataforma. |
| Artefatos | BirdCall, RokRAT, CloudMensis, RambleOn, Dropbox, pCloud, Yandex Disk, Zoho WorkDrive, APK, DLL e shellcode baixado após checagem de processos. |
| Alvo | Usuários da plataforma de jogos voltada a coreanos étnicos na região de Yanbian, na China, área associada a trânsito de desertores norte-coreanos. |
| Mitigação | Reinstalar aplicativos a partir de fontes confiáveis, bloquear artefatos confirmados, auditar permissões Android, isolar endpoints suspeitos e correlacionar acessos incomuns a serviços de nuvem usados para comando e exfiltração. |
O grupo ScarCruft conduziu uma operação de cadeia de suprimentos contra a plataforma de jogos sqgame[.]net para distribuir versões trojanizadas de jogos Android e, por um período não especificado, componentes Windows modificados. A atividade é relevante porque transforma um ponto de distribuição legítimo em vetor de instalação inicial, reduzindo a necessidade de phishing direto contra cada vítima. A plataforma atende usuários coreanos étnicos na região chinesa de Yanbian, próxima à fronteira com a Coreia do Norte e a Rússia, um contexto que se alinha ao histórico do grupo contra desertores norte-coreanos, ativistas de direitos humanos e pesquisadores acadêmicos. A campanha foi descoberta em outubro de 2025, mas há indícios de atividade desde o fim de 2024.
O principal implante observado é BirdCall, uma evolução operacional associada ao ecossistema de RokRAT. Em Windows, versões de BirdCall são observadas desde 2021 e preservam capacidades clássicas de backdoor, como captura de tela, registro de teclas, roubo de conteúdo da área de transferência, execução de comandos de shell e coleta de dados do sistema. No Android, a variante distribuída pelo incidente em sqgame[.]net implementa um subconjunto funcional, mas com foco claro em vigilância móvel: contatos, SMS, registros de chamadas, arquivos de mídia, documentos, capturas de tela e áudio ambiente. A combinação de dispositivo móvel e estáção Windows amplia o alcance da coleta e aumenta a chance de exposição de comunicações pessoais, documentos sensíveis e credenciais manipuladas durante sessões legítimas.
O fluxo Android começa no próprio site comprometido. Páginas de download de dois jogos Android hospedados em sqgame[.]net foram alteradas para entregar APKs maliciosos no lugar dos aplicativos esperados. O comprometimento exato do site não teve data confirmada, mas a distribuição maliciosa é atribuída ao período do fim de 2024 em diante. A análise de linhagem do backdoor Android identificou sete versões, com a primeira datando de outubro de 2024, o que indica manutenção ativa e iteração funcional antes da descoberta pública. O cliente iOS e os jogos iOS não foram apontados como envenenados, e a alteração maliciosa observada no site atingiu especificamente os pacotes Android.
No Windows, o caminho relatado envolve um pacote de atualização do cliente desktop que entregou uma DLL trojanizada desde pelo menos novembro de 2024. Esse pacote não estava mais malicioso no momento mais recente descrito, mas a janela anterior de exposição exige tratamento forense, pois a instalação pode ter ocorrido enquanto o canal de atualização estava comprometido. A DLL modificada continha um downloader que verificava processos em execução para identificar ferramentas de análise e ambientes de máquina virtual. Somente após essa triagem local o componente prosseguia para baixar e executar shellcode com RokRAT. Em seguida, o backdoor era usado para buscar e instalar BirdCall no host, criando uma cadeia em múltiplos estágios com separação entre downloader, implante intermediário e payload final.
O uso de serviços legítimos de armazenamento em nuvem como infraestrutura de comando e controle dificulta bloqueios simples por reputação de domínio. No Windows, BirdCall mantém a tradição operacional de RokRAT ao usar serviços como Dropbox e pCloud para comunicação com operadores. No Android, a variante usa pCloud, Yandex Disk e Zoho WorkDrive. Essa escolha permite que tráfego malicioso se misture a fluxos corporativos e pessoais comuns, especialmente em redes que autorizam armazenamento em nuvem por necessidade de negócio. A defesa precisa distinguir padrões de uso, volume, identidade de processo, dispositivo de origem e sequência temporal, não apenas o nome do provedor acessado.
A superfície afetada inclui usuários que instalaram jogos Android obtidos diretamente das páginas adulteradas de sqgame[.]net e usuários Windows que receberam o pacote de atualização com a DLL modificada durante o período em que o canal estava comprometido. O risco não se limita à execução inicial: aplicativos Android com permissões amplas podem acessar listas de contatos, mensagens, registros de chamadas, arquivos locais e sensores, enquanto o implante Windows pode apoiar coleta interativa, execução remota e movimentação para outros artefatos do usuário. Em ambientes corporativos, a exposição aumenta quando o mesmo usuário sincroniza documentos, mensageiros, contas pessoais e credenciais entre telefone e computador.
A família BirdCall é relacionada ao desenvolvimento contínuo de RokRAT, mas não deve ser tratada como idêntica a RambleOn apenas por ambos atingirem Android e usarem armazenamento em nuvem para exfiltração. As famílias compartilham ideias de operação, disfarce como aplicativo legítimo e abuso de serviços de nuvem, mas são backdoors distintos. Essa diferença importa para detecção, porque regras baseadas apenas em nomes anteriores de família podem falhar. A superfície real deve ser mapeada por artefatos de instalação, permissões concedidas, comunicação com nuvem, comportamento de coleta e execução em múltiplos estágios.
Como a campanha mira uma plataforma regional específica, organizações que apoiam comunidades coreanas, pesquisadores, ativistas, entidades de direitos humanos, jornalistas, universidades e grupos que mantêm contato com desertores norte-coreanos devem tratar instalações oriundas de sqgame[.]net como evento de alto risco. A priorização defensiva deve considerar perfil de usuário, idioma do sistema, histórico de navegação para o domínio, presença de aplicativos Android baixados fora de lojas oficiais e execução de atualizações Windows associadas ao cliente desktop da plataforma.
- Dispositivos Android com jogos baixados de
sqgame[.]netdesde o fim de 2024. - Hosts Windows que instalaram ou atualizaram o cliente desktop da plataforma desde pelo menos novembro de 2024.
- Contas e endpoints que acessaram
pCloud,Yandex Disk,Zoho WorkDriveouDropboxa partir de processos, aplicativos ou horários incomuns. - Usuários ligados a comunidades coreanas em Yanbian, desertores norte-coreanos, ativismo de direitos humanos ou pesquisa acadêmica sobre a região.
A busca deve começar por inventário de software e origem de instalação. Em Android, o foco é identificar APKs instalados fora de lojas controladas, especialmente jogos com nome, ícone ou pacote associado à plataforma sqgame[.]net. A coleta forense deve preservar o pacote instalado, permissões concedidas, horários de instalação, atualizações, acessos a armazenamento local, uso de microfone e criação de capturas de tela. Também é importante revisar permissões para leitura de contatos, SMS, registros de chamada, arquivos e gravação de áudio, porque essas capacidades correspondem diretamente às funções de vigilância atribuídas à variante Android de BirdCall.
Em Windows, a telemetria deve procurar carregamento de DLL associado ao cliente desktop, execução subsequente de processos incomuns, criação de conexões de rede após atualização do aplicativo e indicadores de cadeia em múltiplos estágios. A checagem de processos para ferramentas de análise e ambientes virtualizados sugere que o downloader pode alterar comportamento em sandboxes; portanto, a ausência de payload em ambiente de análise não elimina comprometimento em endpoints reais. Eventos de carregamento de biblioteca, criação de processo filho, execução de shellcode em memória, chamadas para serviços de nuvem e escrita de componentes persistentes devem ser correlacionados por janela temporal próxima à atualização do cliente.
A comunicação com C2 por serviços legítimos exige uma abordagem baseada em contexto. Tráfego para Dropbox, pCloud, Yandex Disk e Zoho WorkDrive deve ser avaliado por processo de origem, volume de upload, frequência de requisições, horários de atividade, contas usadas e relação com aplicativos aprovados. Em redes corporativas, a defesa pode cruzar proxy, EDR, MDM, logs de DNS, telemetria de navegador e eventos de CASB para separar uso humano normal de comunicação automatizada de backdoor. Em dispositivos móveis, logs de MDM e alertas de permissões ajudam a identificar aplicativos que acessam dados pessoais em sequência incompatível com a função declarada de jogo.
- Instalação de
APKsAndroid obtidos de fora de lojas oficiais e vinculados asqgame[.]net. - Aplicativos Android com acesso a contatos,
SMS, chamadas, mídia, documentos, captura de tela e microfone. - Carregamento de
DLLpelo cliente Windows da plataforma seguido de criação de processo, execução em memória ou tráfego para nuvem. - Acesso automatizado a
pCloud,Yandex Disk,Zoho WorkDriveouDropboxa partir de processos sem justificativa operacional. - Sinais de evasão, como enumeração de processos relacionados a análise, depuração ou máquina virtual antes do download de payload.
A primeira ação é conter a origem de instalação. Dispositivos Android que receberam jogos de sqgame[.]net desde o fim de 2024 devem ser isolados da rede corporativa, ter os pacotes preservados para análise e passar por remoção controlada. Quando houver risco de coleta de mensagens, chamadas, contatos e documentos, a resposta deve incluir revisão de contas sincronizadas, troca de credenciais expostas no dispositivo e verificação de tokens de aplicativos. Em perfis corporativos gerenciados, políticas de MDM devem bloquear instalação de fontes não confiáveis, restringir permissões sensíveis e exigir reinstalação a partir de repositórios aprovados.
Para Windows, a mitigação deve priorizar endpoints que executaram o cliente desktop ou receberam atualizações durante a janela suspeita desde novembro de 2024. Ações recomendadas incluem coleta de imagem ou triagem forense, revisão de bibliotecas carregadas, verificação de persistência, análise de conexões para provedores de nuvem e remoção de componentes associados ao cliente comprometido. Como o pacote de atualização malicioso não estava mais ativo no ponto observado, a ausência de ameaça no download atual não limpa máquinas já expostas. O histórico do endpoint, e não apenas o instalador disponível no momento da análise, precisa orientar a decisão de contenção.
No perímetro e na nuvem, bloqueios totais de provedores como Dropbox, pCloud, Yandex Disk e Zoho WorkDrive podem ser inviáveis, mas é possível aplicar controles por identidade, categoria de aplicativo, processo, volume e destino específico. Equipes de segurança devem criar detecções para uso anômalo desses serviços por aplicativos não autorizados, uploads pequenos e frequentes, comunicação em horários incompatíveis e autenticação não associada a contas corporativas. Após a limpeza, a validação deve confirmar que não há novas capturas de tela, gravações de áudio, leitura de mensagens ou execução de comandos remotos. A resposta também deve incluir comunicação aos usuários afetados para interromper o uso de pacotes baixados da plataforma comprometida e reinstalar aplicativos por canais confiáveis.
- Isolar dispositivos Android e Windows com histórico de instalação ou atualização via
sqgame[.]netdesde o fim de 2024. - Preservar
APKs,DLLs, logs de instalação, eventos de rede e amostras antes de remover artefatos. - Revisar permissões Android para contatos,
SMS, chamadas, documentos, microfone e captura de tela. - Correlacionar tráfego para
Dropbox,pCloud,Yandex DiskeZoho WorkDrivecom processo, usuário, dispositivo e horário. - Rotacionar credenciais e tokens usados em dispositivos com sinais de coleta de dados ou execução de backdoor.
0 Comentários