Jogo manipulado: ScarCruft compromete plataforma de jogos em ataque à cadeia de suprimentos

13 de maio de 2026

Resumo

O grupo APT ScarCruft (APT37), alinhado à Coreia do Norte, comprometeu o sqgame[.]net, uma plataforma de jogos para coreanos étnicos na região de Yanbian, na China, trojalizando seu pacote de atualização do Windows e dois jogos de cartas Android para implantar o backdoor BirdCall, com a versão Android marcando uma nova adição ao arsenal do grupo. A cadeia do Windows passa por um downloader que verifica sandbox até chegar ao RokRAT e depois ao BirdCall, enquanto o BirdCall Android abusa do Zoho WorkDrive via HTTPS para C&C e exfiltra contatos, SMS, logs de chamadas, screenshots, gravações de microfone (limitadas às 19h-22h horário local) e arquivos com extensões .doc/.docx/.xlsx/.pptx/.hwp/.pdf/.p12, visando desertores e refugiados. Defensores devem procurar APKs originários do sqgame e o mono.dll trojanizado (SHA-1 95BDB94F6767A3CCE6D92363BBF5BC84B786BDB0), bloquear a infraestrutura C2 listada, incluindo domínios sul-coreanos comprometidos (1980food.co[.]kr, inodea[.]com e lawwell.co[.]kr), e sinalizar tráfego de API Zoho WorkDrive de saída de endpoints não empresariais.

Fontes

welivesecurity.comfonte original

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 13 de maio de 2026
Editoria: CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?