ScarCruft Атакує Ланцюг Поставок Ігрової Платформи для Розгортання BirdCall

Будь-який керівник платформи, що планує випуск нативного ігрового клієнта протягом наступних двох кварталів, має засвоїти одну цифру з цього інциденту: сім версій Android-бекдору, найрання з яких датується жовтнем 2024 року, перебували всередині живого каналу дистрибуції ігор приблизно двадцять місяців до публічного розголошення. Саме стільки часу індустрія фактично гарантує зловмисникам, коли поширює APK з власної інфраструктури. Економіка нативної дистрибуції щойно стала дорожчою, і платять за це зовсім не команди безпеки.

Цифри

Як повідомило видання The Hacker News, кампанію виявив словацький вендор ESET у жовтні 2025 року, а відповідальність за неї приписують ScarCruft — проросійській та пропівнічнокорейській державній групі. Метою стала sqgame[.]net — нішевий ігровий портал для етнічних корейців у регіоні Янбянь у Китаї, коридорі на кордоні з Північною Кореєю та Росією, що є відомим транзитним пунктом для перебіжчиків, які перетинають річку Туман. Геополітична конкретика важлива, бо пояснює, чому невелика платформа з вузькою аудиторією варта багатоплатформного ланцюга імплантів.

Технічний слід: два троянізованих Android APK (ybht.apk та sqybhs.apk), що роздавалися зі змінених сторінок завантаження, а також троянізована Windows DLL, яку просували через пакет оновлень десктопного клієнта щонайменше з листопада 2024 року. iOS-ігри на тій самій платформі залишились незайманими. Шкідливе Windows-оновлення на момент публікації вже не було активним, проте Android APK залишалися живими, коли Filip Jurčacko з ESET спілкувався з журналістами. Прочитайте ще раз: очищення часткове, а оператор або не знає про це, або не може виправити ситуацію.

BirdCall описується як розвинута еволюція RokRAT, Windows-варіанти якого перебувають у вільному обігу з 2021 року. Та сама родовід породила CloudMensis для macOS і RambleOn для Android — отже, це сімейство шкідливого ПЗ з п'ятьма роками активної підтримки. Windows-ланцюг перевіряє наявність інструментів аналізу та VM-середовищ перед завантаженням шелл-коду, який завантажує RokRAT, а той — BirdCall. Компоненти зашифровані ключем, прив'язаним до конкретного комп'ютера, а завантажувач стартує зі скрипту Ruby або Python. Android-варіант збирає контакти, SMS, журнали дзвінків, медіафайли, документи, знімки екрана та фоновий звук, а для C2 використовує pCloud, Yandex Disk та Zoho WorkDrive. Windows-варіант використовує Dropbox і pCloud. Жоден із цих варіантів не є екзотичним вибором інфраструктури — і це саме і є ключовим моментом. Вони зливаються з легітимними патернами трафіку, які жоден DLP-продукт не позначить прапорцем у оператора зі звичайним SaaS-стеком.

Для контексту: ESET виявив сім окремих Android-версій у цьому родоводі. Це не опортуністичне кримінальне ПЗ — це продуктова команда.

Що Справді Нового

Тут є дві справді нові речі, і тільки одна з них — шкідливе ПЗ. Цікавим зрушенням є те, що ScarCruft, який історично орієнтувався на Windows, використав компрометацію ланцюга поставок саме для переходу на Android. Попередні версії BirdCall націлювалися на Windows-користувачів. Злом sqgame[.]net дав їм канал дистрибуції для Android, і вони отруїли лише APK, а не iOS-збірки. Це вказує на те, що обмежувальним фактором була архітектура дистрибуції оператора, а не можливості авторів шкідливого ПЗ. Вони пішли туди, де існував непідписаний потік встановлення з бічним завантаженням.

Цей патерн має здаватися знайомим будь-якому iGaming-керівнику платформи, який стикався з мінним полем політик Google Play щодо ігор на реальні гроші. Оператори в юрисдикціях, де дистрибуція через Play Store обмежена або непрактична, зрештою запускають власну дистрибуцію APK зі свого домену, часто з власною логікою оновлення, що повністю обходить Play Protect. Це структурно той самий канал доставки, яким щойно скористався ScarCruft. Модель загроз для тематичного ігрового порталу для янбянців та модель загроз для букмекера рівня Tier-2, що роздає APK гравцям на обмежених ринках, ближчі одна до одної, ніж більшість рад директорів усвідомлює.

Другий новий елемент — конкретизована проблема часу перебування зловмисника. Троянізована Windows DLL стала активною приблизно в листопаді 2024 року і була виявлена приблизно через одинадцять місяців. Android APK досі активні. Якщо ви запускаєте конвеєр збірки, де єдиний скомпрометований ключ підпису, агент збірки або CDN-джерело може відправити отруєний бінарний файл кожному встановленому клієнту, ви успадкували ту саму поверхню ризику, і майже напевно не проводили настільні навчання з вікном виявлення у двадцять місяців. Більшість операторів, яких я спостерігаю, бюджетують реагування на інциденти, виходячи з припущення про вікно від тридцяти до дев'яноста днів. Цифри цієї кампанії не підтверджують таке припущення.

Що не є новим: вибір C2. Зловживання хмарними сховищами для ексфільтрації є стандартним прийомом уже роками. Zoho WorkDrive — єдина трохи цікава деталь, оскільки, за даними ESET, він став дедалі поширенішою присутністю в кампаніях ScarCruft. Якщо ваші списки дозволених для вихідного трафіку включають Zoho за замовчуванням, бо хтось із фінансового відділу ним користується, — це тепер регулярна сліпа зона.

Що Вже Враховано для iGaming-Операторів

Ринок урахував ідею про те, що мобільні клієнти є поверхнею атаки. Що він не врахував — це вартість утримання власного каналу дистрибуції Android як регульованого оператора. MGA та UKGC обидва запроваджують технічні стандарти щодо цілісності ігор та захисту гравців, але цілісність ланцюга поставок клієнтського бінарного файлу розглядається як питання операційної гігієни, а не ліцензування. Цей розрив закриється, і оператори з власною доставкою APK мають очікувати питань від аудиторів технічної відповідності протягом наступного ліцензійного циклу.

Вже враховано: підписання коду, відтворювані збірки, гігієна SBOM. Більшість операторів серії B і вище мають принаймні версію цих засобів контролю у форматі слайд-деку. Що не враховано — ризик третіх сторін для постачальників white-label платформ. Якщо ви є оператором на готовій платформі, ваш APK збирається конвеєром вашого вендора, підписується його ключами та роздається з його CDN. Ваш сценарій реагування на інцидент типу sqgame на практиці — це дзвінок менеджеру по роботі з клієнтами вашого провайдера. Це одиниці економіки, які ніхто не хоче показувати на слайді: витрати від злому ланцюга поставок на white-label несе ліцензіат, але засоби контролю знаходяться у вендора.

Юридичний директор будь-якого ліцензованого оператора цього тижня має поставити своєму VP Engineering одне конкретне запитання: хто має доступ до коміту в репозиторій, що збирає наш мобільний клієнт, хто має доступ до ключа підпису, і чи можемо ми надати цей список менш ніж за годину. Якщо відповідь передбачає третю сторону та заявку в підтримку, регуляторна відповідальність є більшою, ніж технічна. Двадцять місяців перебування зловмисника на ліцензованому регулятором клієнті не пережили б повідомлення за Розділом 166.

Протилежна Точка Зору

Легке трактування полягає в тому, що ця кампанія є дзвінком-будильником для кожної ігрової платформи. Це не так. ScarCruft обрав sqgame[.]net, бо профіль жертви — етнічні корейці, що мешкають у Янбяні, — населення, що становить розвідувальний інтерес для Пхеньяну. Ліцензований iGaming-оператор на Мальті або у Великій Британії не входить до цього цільового набору, і операційні витрати державного актора на запуск багатоплатформного сімейства імплантів проти регульованого комерційного оператора заради спостереження за гравцями не виправдовуються жодною правдоподібною вигодою.

Реальна загроза для iGaming з цього звіту — не ScarCruft. Це техніки, що будуть скопійовані фінансово мотивованими акторами протягом дванадцяти-вісімнадцяти місяців та перепрофільовані для крадіжки облікових даних і захоплення акаунтів. C2 через хмарне сховище поверх Dropbox і pCloud, багатоступеневі завантажувачі, прив'язані до машини жертви, троянізовані DLL оновлювача — все це не є ексклюзивом північнокорейських методів, і як тільки affiliate-учасник програм-здирників продуктизує цей посібник проти Android-клієнта регіонального букмекера, розмова зміниться. Будуйте модель загроз для цього, а не для заголовка про APT.

Ключові Висновки

• Сім версій Android-варіанту BirdCall, починаючи з жовтня 2024 року, вказують на приблизно двадцятимісячне вікно перебування зловмисника в живому каналі дистрибуції, що має переглянути припущення планування реагування на інциденти для будь-якого оператора, що поширює нативні клієнти.
• Отруєними виявились лише Android APK та Windows DLL; iOS залишився незайманим. Архітектура дистрибуції, а не безпека платформи, визначила поверхню атаки — це має прямі наслідки для операторів на ринках, де дистрибуція через Play Store обмежена.
• Використання BirdCall сервісів Dropbox, pCloud, Yandex Disk та Zoho WorkDrive для C2 суттєво ускладнює виявлення вихідного трафіку для будь-якого оператора зі звичайним SaaS-стеком. Списки дозволених потребують аудиту.
• White-label iGaming-ліцензіати успадковують ризики ланцюга поставок свого вендора платформи, не успадковуючи засобів контролю. Договірна та регуляторна відповідальність лежить на ліцензіаті.
• Реальна загроза, актуальна для iGaming, — не безпосередньо ScarCruft, а адаптація цього посібника фінансово мотивованими акторами протягом наступних дванадцяти-вісімнадцяти місяців. Команди мають моделювати саме цей лаг, а не поточний заголовок новин.

Команди, що оцінюють стратегію дистрибуції мобільних клієнтів, мають тепер ставити собі гостріше питання: якщо наш APK-конвеєр буде скомпрометовано завтра, скільки часу мине до того, як ми про це дізнаємось, і хто в організації має і повноваження, і доступ, щоб відкликати ключ підпису до кінця робочого дня. Якщо відповідь потребує наради — архітектура і є проблемою.