Uma operação de espionagem digital utiliza jogos para monitorar uma comunidade coreana na região de Yanbian, na China. Conforme aponta o relatório da ESET, o grupo responsável seria o ScarCruft, também chamado de APT37 ou Reaper, ligado ao governo norte-coreano e ativo desde pelo menos 2012.
O ataque, provavelmente em andamento desde o final de 2024, comprometeu as versões de Windows e de Android de jogos disponíveis na plataforma SQGames. O site hospeda títulos tradicionais da região, como jogos de cartas e tabuleiro, que podem ser baixados e usados para competir com amigos ou participar de torneios.
smart_display
Nossos vídeos em destaque
Jogos de celular infectados na origem
Dois dos jogos para Android disponíveis no site SQGame foram encontrados com um backdoor embutido. Backdoor é um tipo de programa malicioso que possibilita acesso oculto ao dispositivo da vítima, permitindo que invasores coletem dados sem que o usuário perceba.
)
O malware inserido nos jogos é chamado de BirdCall. A versão para Windows já era conhecida desde 2021, mas a versão para Android foi descoberta somente agora. Internamente, o código do malware usa o nome “zhuagou”, que em chinês significa “pegar cachorros”.
Os pesquisadores acreditam que o ScarCruft não teve acesso ao código-fonte dos jogos. O grupo obteve os arquivos originais, adicionou o código malicioso e os recolocou no servidor, substituindo as versões legítimas. Quem baixava o jogo pelo site oficial instalava automaticamente o malware junto.
O que o vírus faz no celular
Assim que o jogo infectado é aberto, o BirdCall começa a trabalhar em segundo plano. Na primeira execução, ele coleta uma lista completa dos arquivos armazenados no aparelho, além de contatos, registros de chamadas e mensagens SMS.
)
Depois disso, o malware passa a agir de forma periódica. Ele envia informações básicas do dispositivo para os servidores dos atacantes, incluindo modelo do aparelho, endereço IP, tipo de rede e status de root — termo que indica se o usuário tem controle total sobre o sistema do celular. Também coleta a localização geográfica aproximada via internet.
O BirdCall ainda busca arquivos com extensões específicas para enviá-los aos atacantes. Os formatos visados incluem fotos (.jpg), documentos do Word e Excel (.doc, .docx, .xls, .xlsx), PDFs, apresentações em PowerPoint e arquivos de certificado digital (.p12). Ou seja, tanto arquivos pessoais quanto profissionais estão no alvo.
Além disso, o malware pode tirar capturas de tela do celular e gravar o áudio do ambiente pelo microfone. A gravação de áudio, quando ativada, funciona apenas em um período específico do dia, entre 19h e 22h, no horário local da vítima.
)
Como a comunicação com os atacantes funciona
Para enviar os dados coletados sem levantar suspeita, o BirdCall usa serviços legítimos de armazenamento na nuvem. Durante a investigação, os pesquisadores identificaram 12 contas no Zoho WorkDrive, serviço de armazenamento de arquivos, usadas como canal de comunicação entre o malware e os atacantes.
Essa técnica é comum em grupos de espionagem sofisticados porque o tráfego para serviços conhecidos como Zoho ou pCloud dificilmente é bloqueado por ferramentas de segurança corporativas ou residenciais.
A versão para Windows seguiu caminho diferente
No computador, o ataque funcionou de outra forma. O instalador do cliente Windows disponível no site estava limpo, mas as atualizações automáticas do programa estavam comprometidas desde pelo menos novembro de 2024. Ao atualizar o software, o usuário recebia uma versão modificada de um arquivo de sistema chamado mono.dll.
)
Esse arquivo carregava um outro malware chamado RokRAT, que por sua vez instalava o BirdCall na máquina. O RokRAT é um backdoor já associado ao ScarCruft em campanhas anteriores. Na época da análise, o arquivo de atualização malicioso já havia sido substituído por uma versão limpa.
Quem era o alvo e por quê
A região de Yanbian é habitada pela maior comunidade coreana fora da península coreana. Pela localização geográfica, na fronteira com a Coreia do Norte, a área também funciona como rota de passagem para refugiados e dissidentes que tentam deixar o país.
Os pesquisadores concluem que o objetivo da campanha era coletar informações sobre pessoas nessa região que pudessem ser de interesse para o regime norte-coreano, com foco especial em refugiados e dissidentes. O ScarCruft tem histórico de ataques contra esse perfil de alvo, além de organizações militares e governamentais em países asiáticos.
)
Sete versões em poucos meses
A versão Android do BirdCall passou por desenvolvimento ativo entre outubro de 2024 e junho de 2025, período em que foram identificadas sete versões diferentes, da 1.0 à 2.0. Isso indica que o grupo continuou aprimorando a ferramenta ao longo do tempo.
A ESET notificou a plataforma sqgame sobre o comprometimento em dezembro de 2025, mas não recebeu resposta. No momento da publicação da pesquisa, os arquivos maliciosos ainda estavam disponíveis para download no site.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
FonteTECMUNDO
