Vecteur d’infection : mise à jour malveillante du client Windows
ESET Research a publié une analyse technique complète d’une attaque de la chaîne d’approvisionnement attribuée à ScarCruft, également connu sous les désignations APT37 et Reaper. Le vecteur initial est une mise à jour malveillante du client Windows d’une plateforme de jeux traditionnels yanbian, distribuée directement via le site officiel du jeu — sans recours à un autre vecteur de distribution ni présence sur le Google Play Store.
La compromission suit une séquence de déploiement en deux étapes : la backdoor RokRAT est d’abord installée, puis utilisée comme loader pour déployer BirdCall, une porte dérobée plus avancée, que ESET a nommée lors de cette analyse.
BirdCall : architecture et capacités du variant Android
Connue jusqu’ici comme une backdoor exclusivement Windows, BirdCall dispose désormais d’un variant Android découvert dans le cadre de cette campagne. Le variant mobile implémente un sous-ensemble des fonctionnalités de la version Windows. Il permet l’exfiltration de : contacts, SMS, journaux d’appels, documents, fichiers multimédias et clés privées cryptographiques. Il intègre également des fonctions de capture d’écran et d’enregistrement audio ambiant.
ESET a identifié au moins sept itérations successives de ce variant Android, indiquant un cycle de développement actif étalé sur plusieurs mois. La date exacte de compromission du site reste indéterminée ; l’analyse du malware situe le démarrage de la campagne fin 2024.
Ciblage géographique et renseignement stratégique
Le profil de la plateforme compromise — exclusivement destinée aux résidents de la région de Yanbian en Chine, à forte concentration de Coréens ethniques — permet à ESET de définir précisément le périmètre des cibles. La région est un point de transit documenté pour les réfugiés et transfuges nord-coréens.
L’objectif opérationnel de la campagne est l’espionnage ciblé : collecte de renseignements sur des individus jugés d’intérêt stratégique par le régime nord-coréen, au premier rang desquels des réfugiés ou transfuges. Le ciblage exclusif d’une plateforme communautaire locale confirme la granularité des opérations de ScarCruft.
Profil du groupe ScarCruft
ScarCruft (APT37 / Reaper) opère depuis au moins 2012. Son périmètre prioritaire est la Corée du Sud, avec des extensions vers d’autres pays asiatiques. Ses cibles typiques comprennent les entités gouvernementales, les organisations militaires, les entreprises de secteurs stratégiques, ainsi que les transfuges nord-coréens. Cette campagne marque une évolution tactique significative avec l’introduction d’une capacité Android opérationnelle dans son arsenal.
L’analyse technique complète est disponible sur WeLiveSecurity.com : « Rigged Game: ScarCruft Compromises Gaming Platform in Supply Chain Attack ». Référence chercheur : Filip Jurčacko, ESET Research.
