ScarCruft атакует цепочку поставок игровой платформы для внедрения BirdCall

Любому руководителю платформы, планирующему выпуск нативного игрового клиента в ближайшие два квартала, необходимо запомнить одну цифру из этого инцидента: семь версий Android-бэкдора, самая ранняя из которых датируется октябрём 2024 года, находились в активном канале дистрибуции игр на протяжении примерно двадцати месяцев до публичного раскрытия. Именно такое время присутствия злоумышленника в системе отрасль сейчас фактически принимает как норму, когда распространяет APK-файлы через собственную инфраструктуру. Экономика нативной дистрибуции стала значительно дороже, и платить за это будет не команда безопасности.

Цифры

Кампания, о которой сообщил The Hacker News, была обнаружена словацким вендором ESET в октябре 2025 года и приписана ScarCruft — государственной группировке, связанной с Северной Кореей. Целью стал sqgame[.]net — нишевый игровой портал для этнических корейцев в Яньбяньском регионе Китая, граничащем с Северной Кореей и Россией и являющемся известным транзитным маршрутом для перебежчиков, пересекающих реку Туманган. Геополитическая специфика важна: она объясняет, почему небольшая платформа с узкой аудиторией представляет интерес для многоплатформенной цепочки имплантов.

Технические детали: два троянизированных Android APK (ybht.apk и sqybhs.apk), распространявшихся через изменённые страницы загрузки, а также троянизированная Windows DLL, внедрённая в пакет обновления десктопного клиента как минимум с ноября 2024 года. iOS-игры на той же платформе остались нетронутыми. На момент публикации отчёта Windows-обновление уже не являлось вредоносным, однако Android APK были ещё доступны, когда исследователь ESET Филип Юрчачко давал комментарии журналистам. Вдумайтесь: очистка была частичной, и оператор либо не знает об этом, либо не может устранить проблему.

BirdCall описывается как усовершенствованная версия RokRAT, чьи Windows-варианты появились в 2021 году. Та же линейка породила CloudMensis на macOS и RambleOn на Android — это семейство вредоносного ПО поддерживается уже пять лет. Цепочка заражения для Windows проверяет наличие инструментов анализа и виртуальных окружений перед загрузкой шеллкода, который запускает RokRAT, а тот в свою очередь загружает BirdCall. Компоненты зашифрованы ключом, привязанным к конкретному компьютеру, а загрузчик запускается из скрипта на Ruby или Python. Android-вариант собирает контакты, SMS, журналы звонков, медиафайлы, документы, скриншоты и окружающий звук, передавая данные через pCloud, Yandex Disk и Zoho WorkDrive для C2. Windows-вариант использует Dropbox и pCloud. Ни один из этих вариантов не является экзотическим выбором инфраструктуры — именно это и составляет суть. Они сливаются с легитимным трафиком, который ни один DLP-продукт не пометит у оператора с обычным SaaS-профилем.

Для понимания масштаба: ESET обнаружил семь отдельных Android-версий в этой линейке. Это не оппортунистическое криминальное ПО — это работа целой продуктовой команды.

Что действительно нового

В этом инциденте есть два принципиально новых аспекта, и только один из них касается вредоносного ПО. Главный сдвиг заключается в том, что ScarCruft, исторически ориентированная на Windows, использовала компрометацию цепочки поставок именно для перехода на Android. Предыдущие версии BirdCall были нацелены на пользователей Windows. Взлом sqgame[.]net дал группировке канал дистрибуции для Android, при этом были заражены только APK-файлы, но не iOS-сборки. Это говорит о том, что ограничивающим фактором была архитектура дистрибуции оператора, а не возможности авторов вредоноса. Они выбрали путь, где существовал неподписанный поток установки с боковой загрузкой.

Этот паттерн должен быть знаком любому iGaming-руководителю платформы, сталкивавшемуся с минным полем политик Google Play в сфере азартных игр на реальные деньги. Операторы в юрисдикциях, где дистрибуция через Play Store ограничена или нецелесообразна, в итоге запускают собственную APK-дистрибуцию со своего домена, нередко с кастомной логикой обновлений, полностью обходящей Play Protect. Это структурно тот же канал доставки, который только что был использован ScarCruft. Модель угроз для игрового портала с яньбяньской тематикой и модель угроз для спортбука второго уровня, распространяющего APK-файлы игрокам на ограниченных рынках, гораздо ближе друг к другу, чем осознаёт большинство советов директоров.

Второй новый элемент — конкретно воплощённая проблема времени присутствия злоумышленника. Троянизированная Windows DLL появилась примерно в ноябре 2024 года и была обнаружена примерно через одиннадцать месяцев. Android APK до сих пор доступны. Если вы эксплуатируете конвейер сборки, где один скомпрометированный ключ подписи, агент сборки или источник CDN может распространить заражённый бинарный файл на все установленные клиенты — вы унаследовали такую же поверхность риска, и почти наверняка не проводили настольных учений с двадцатимесячным окном обнаружения. Большинство операторов, которых я вижу, планируют реагирование на инциденты, исходя из окна в тридцать-девяносто дней. Цифры этой кампании не подтверждают это предположение.

Что не является новым: выбор C2. Злоупотребление облачными хранилищами для эксфильтрации данных — стандартная практика уже долгие годы. Zoho WorkDrive — единственная слегка интересная деталь, поскольку, по данным ESET, этот сервис всё чаще встречается в кампаниях ScarCruft. Если ваши списки разрешённых исходящих соединений включают Zoho по умолчанию — потому что кто-то из финансового отдела им пользуется — это теперь регулярная слепая зона.

Что уже учтено для iGaming-операторов

Рынок принял во внимание, что мобильные клиенты являются поверхностью атаки. Чего он не учёл — это стоимость владения собственным каналом дистрибуции Android для лицензированного оператора. MGA и UKGC устанавливают технические стандарты в отношении честности игр и защиты игроков, однако целостность цепочки поставок самого клиентского бинарного файла рассматривается как вопрос операционной гигиены, а не лицензирования. Этот разрыв будет устранён, и операторам с собственной доставкой APK следует ожидать вопросов от технических аудиторов по вопросам соответствия требованиям в течение следующего лицензионного цикла.

Уже учтено: подписание кода, воспроизводимые сборки, гигиена SBOM. Большинство операторов уровня серии B и выше имеют хотя бы презентационную версию этих контролей. Что не учтено — так это риск третьих сторон для провайдеров white-label платформ. Если вы оператор, работающий на готовой платформе, ваш APK собирается в конвейере вашего вендора, подписывается его ключами и распространяется с его CDN. Ваш план реагирования на инцидент типа sqgame в реальности сводится к звонку аккаунт-менеджеру вашего провайдера. Это та единица экономики, которую никто не хочет выводить на слайд: издержки от взлома цепочки поставок на white-label несёт лицензиат, а контроли находятся у вендора.

Главный юрисконсульт любого лицензированного оператора должен на этой неделе задать своему вице-президенту по инженерии один конкретный вопрос: кто имеет права на коммит в репозиторий, собирающий наш мобильный клиент, у кого есть доступ к ключу подписи и можем ли мы составить этот список менее чем за час. Если ответ предполагает привлечение третьей стороны и создание заявки в поддержку — регуляторные риски превышают технические. Двадцать месяцев присутствия злоумышленника в клиенте, лицензированном регулятором, не пережили бы уведомления по разделу 166.

Альтернативная точка зрения

Очевидная интерпретация состоит в том, что эта кампания — сигнал тревоги для каждой игровой платформы. Это не так. ScarCruft выбрала sqgame[.]net, потому что профиль жертвы — этнические корейцы, проживающие в Яньбяне, — представляет разведывательный интерес для Пхеньяна. Лицензированный iGaming-оператор на Мальте или в Великобритании не входит в эту целевую группу, и операционные издержки государственного актора, использующего многоплатформенное семейство имплантов против регулируемого коммерческого оператора с целью слежки за игроками, не оправдываются никакой правдоподобной выгодой.

Реальная угроза для iGaming из этого отчёта — не ScarCruft. Это методы, которые будут скопированы финансово мотивированными злоумышленниками через двенадцать-восемнадцать месяцев и перенаправлены на кражу учётных данных и захват аккаунтов. C2 через облачные хранилища Dropbox и pCloud, многоступенчатые загрузчики, привязанные к машине жертвы, троянизированные DLL обновлений — всё это не является исключительной прерогативой северокорейских методов, и как только партнёр по программам-вымогателям возьмёт этот сценарий на вооружение против Android-клиента регионального спортбука, разговор изменится. Стройте модель угроз именно для этого, а не для заголовков об APT.

Ключевые выводы

• Семь версий Android-варианта BirdCall, начиная с октября 2024 года, указывают на примерно двадцатимесячное окно присутствия злоумышленника в активном канале дистрибуции — это должно пересмотреть допущения при планировании реагирования на инциденты для любого оператора, распространяющего нативные клиенты.
• Заражены были только Android APK и Windows DLL; iOS остался нетронутым. Архитектура дистрибуции, а не безопасность платформы, определила поверхность атаки — это имеет прямые последствия для операторов на рынках, где дистрибуция через Play Store ограничена.
• Использование BirdCall для C2 сервисов Dropbox, pCloud, Yandex Disk и Zoho WorkDrive существенно затрудняет обнаружение через мониторинг исходящего трафика для любого оператора с обычным SaaS-профилем. Списки разрешений требуют аудита.
• White-label iGaming-лицензиаты наследуют риски цепочки поставок своего платформенного вендора, не наследуя контролей. Договорные и регуляторные риски лежат на лицензиате.
• Реальная угроза для iGaming — не ScarCruft напрямую, а адаптация используемых методов финансово мотивированными злоумышленниками в течение следующих двенадцати-восемнадцати месяцев. Командам следует моделировать именно этот сценарий, а не реагировать на текущие заголовки.

Команды, оценивающие стратегию дистрибуции мобильных клиентов, должны задать себе более острый вопрос: если наш APK-конвейер будет скомпрометирован завтра, через сколько времени мы об этом узнаем и есть ли в организации человек, обладающий одновременно полномочиями и доступом для отзыва ключа подписи до конца рабочего дня. Если ответ требует проведения совещания — архитектура и есть проблема.