朝鮮黑客盯上延邊游戲平臺：一次多平臺供應鏈攻擊復盤

2024年11月，一個普通的游戲更新包正在延邊地區的玩家電腦里靜默運行。沒人注意到，這款主打朝鮮族傳統棋牌游戲的本地平臺，已經變成了國家級黑客組織的監控工具。

被"借殼"的本土游戲平臺

sqgame是服務中國延邊朝鮮族自治州的游戲平臺，主打朝鮮族傳統主題的棋牌游戲，覆蓋Windows、Android和iOS三端。這個地區的特殊之處在于：它與朝鮮接壤，擁有朝鮮半島以外最大的朝鮮族聚居社區，同時也是脫北者的重要過境通道。

攻擊者沒有直接攻破游戲源代碼。他們選擇了一條更隱蔽的路徑——入侵平臺的網絡服務器，在原始Android游戲文件外層重新打包惡意代碼。這種手法讓惡意程序披著正版應用的外衣流通，用戶從官網下載時幾乎無法察覺異常。

sqgame網站上的兩款Android游戲被植入BirdCall后門，Windows客戶端則通過惡意更新包中招。iOS版本目前未發現被篡改跡象，ESET研究人員推測這與蘋果嚴格的應用審核機制有關。

時間線：從首次感染到全面暴露

ESET的遙測數據鎖定了攻擊起點：2024年11月，惡意Windows更新包開始活躍。這個更新包投遞的是RokRAT——ScarCruft組織使用多年的第一階段后門。RokRAT落地后，會進一步釋放功能更強的BirdCall后門。

2024年底至2025年初，攻擊持續發酵。Android端的BirdCall后門通過"抓狗"（zhuagou，內部代號）模塊擴散，與Windows端形成跨平臺監控網絡。

2025年12月，ESET向sqgame運營方發出入侵通知。截至報告發布，未收到任何回應。

WeLiveSecurity分析團隊完成了這次多平臺供應鏈攻擊的完整溯源，以高置信度將行動歸因于ScarCruft。他們同時指出，Android版BirdCall是該組織武器庫中的新成員，本次分析是這款工具的首次公開技術拆解。

Android后門的"寄生"邏輯

被篡改的Android安裝包（APK）在AndroidManifest.xml文件上做了手腳。這個配置文件原本負責聲明應用的組件和權限，現在被重定向到后門代碼的入口。

用戶點擊游戲圖標時，啟動流程被劫持：后門代碼先靜默執行，完成數據收集后再將控制權交還給正常游戲界面。整個感染過程對用戶完全透明——游戲能正常打開、能正常玩，但后臺已經開始了持續監控。

首次運行時，后門會執行三項核心操作：掃描共享存儲的完整目錄結構、提取通訊錄、拉取通話記錄和短信內容。這些數據通過硬編碼的云存儲憑證外傳，無需與攻擊者服務器直接握手，降低了網絡層面的暴露風險。

Windows端的攻擊鏈路同樣經過精心設計。RokRAT作為"先遣部隊"突破防線，評估目標價值后再決定是否升級部署BirdCall。這種分級投遞策略既控制了攻擊成本，也減少了高價值工具被過早暴露的可能性。

ScarCruft的"地緣情報"生意

ScarCruft在業界有多個追蹤代號：APT37、Reaper。這個組織至少從2012年開始活動，被普遍認定為朝鮮國家級網絡間諜力量。其核心任務是為平壤收集戰略情報，傳統目標包括韓國政府機構、軍事單位和涉朝利益產業。

延邊地區進入其視野并不意外。這里是中朝邊境的關鍵節點，生活著大量與朝鮮半島有血緣、文化、經濟紐帶的人群。對于關注脫北者動向、跨境人員流動、民間輿論的朝鮮情報部門而言，滲透這個社區的游戲平臺是高效的信息采集渠道。

棋牌游戲的社交屬性放大了情報價值。玩家通訊錄可能包含跨境親屬關系，短信記錄可能暴露資金往來渠道，存儲文件可能涉及身份文檔。這些碎片拼湊起來，就是完整的人員畫像。

供應鏈攻擊的"降維"打法

這次行動展示了國家級黑客組織如何將供應鏈攻擊"輕量化"。傳統認知中，供應鏈攻擊指向SolarWinds級別的軟件巨頭入侵——投入大、周期長、影響廣。ScarCruft選擇了一個區域性的垂直平臺，用相對低成本的Web服務器入侵，實現了精準的地理和人群定向。

游戲作為攻擊載體有幾個隱蔽優勢：更新頻率高，用戶對版本變化不敏感；社交屬性強，天然需要通訊錄等敏感權限；休閑場景下，安全警惕性被進一步稀釋。更重要的是，這類本土平臺往往缺乏企業級安全響應能力——ESET的通報石沉大海就是例證。

跨平臺覆蓋是另一個值得注意的趨勢。Windows端抓辦公場景，Android端抓移動社交，iOS端因技術門檻暫時豁免。這種"全渠道"思維讓單一設備的清潔無法阻斷監控鏈條，用戶在游戲賬號、社交關系、設備生態之間無縫切換時，攻擊者也在同步收割。

為什么這件事值得產品人關注

第一，攻擊面正在向"長尾應用"轉移。不是每個產品都有SolarWinds的體量，但每個產品都可能成為特定人群的"關鍵基礎設施"。區域化、垂直化、社區化的產品尤其需要重新評估自身在攻擊者眼中的戰略價值。

第二，權限模型需要重新設計。Android版BirdCall的感染依賴用戶對游戲應用的基本授權——存儲、通訊錄、短信。這些權限在棋牌游戲場景下看似合理，卻構成了完整的監控拼圖。產品如何在功能需求與隱私最小化之間找到新平衡點，是下一個設計命題。

第三，供應鏈安全的責任邊界在模糊。sqgame并非惡意代碼的編寫者，但其分發渠道被劫持后，用戶信任瞬間轉化為傷害來源。對于依賴第三方SDK、云存儲、更新服務的產品而言，這次攻擊是一記警鐘：你的安全鏈條有多長，攻擊者的入口就有多寬。

如果你負責的產品服務特定地理或文化社群，建議立即做三件事：審計所有分發渠道的訪問日志，排查非預期的文件修改時間戳；檢查更新包的簽名驗證機制，確保客戶端拒絕未經認證的版本；重新梳理權限申請清單，對"合理但過度"的授權請求保持警覺。供應鏈攻擊不會只發生在 headlines 里的大公司身上——你的用戶規模越小，被定向盯上的風險可能越高。