朝鲜黑客盯上延边游戏平台：一次多平台供应链攻击复盘

2024年11月，一个普通的游戏更新包正在延边地区的玩家电脑里静默运行。没人注意到，这款主打朝鲜族传统棋牌游戏的本地平台，已经变成了国家级黑客组织的监控工具。

被"借壳"的本土游戏平台

sqgame是服务中国延边朝鲜族自治州的游戏平台，主打朝鲜族传统主题的棋牌游戏，覆盖Windows、Android和iOS三端。这个地区的特殊之处在于：它与朝鲜接壤，拥有朝鲜半岛以外最大的朝鲜族聚居社区，同时也是脱北者的重要过境通道。

攻击者没有直接攻破游戏源代码。他们选择了一条更隐蔽的路径——入侵平台的网络服务器，在原始Android游戏文件外层重新打包恶意代码。这种手法让恶意程序披着正版应用的外衣流通，用户从官网下载时几乎无法察觉异常。

sqgame网站上的两款Android游戏被植入BirdCall后门，Windows客户端则通过恶意更新包中招。iOS版本目前未发现被篡改迹象，ESET研究人员推测这与苹果严格的应用审核机制有关。

时间线：从首次感染到全面暴露

ESET的遥测数据锁定了攻击起点：2024年11月，恶意Windows更新包开始活跃。这个更新包投递的是RokRAT——ScarCruft组织使用多年的第一阶段后门。RokRAT落地后，会进一步释放功能更强的BirdCall后门。

2024年底至2025年初，攻击持续发酵。Android端的BirdCall后门通过"抓狗"（zhuagou，内部代号）模块扩散，与Windows端形成跨平台监控网络。

2025年12月，ESET向sqgame运营方发出入侵通知。截至报告发布，未收到任何回应。

WeLiveSecurity分析团队完成了这次多平台供应链攻击的完整溯源，以高置信度将行动归因于ScarCruft。他们同时指出，Android版BirdCall是该组织武器库中的新成员，本次分析是这款工具的首次公开技术拆解。

Android后门的"寄生"逻辑

被篡改的Android安装包（APK）在AndroidManifest.xml文件上做了手脚。这个配置文件原本负责声明应用的组件和权限，现在被重定向到后门代码的入口。

用户点击游戏图标时，启动流程被劫持：后门代码先静默执行，完成数据收集后再将控制权交还给正常游戏界面。整个感染过程对用户完全透明——游戏能正常打开、能正常玩，但后台已经开始了持续监控。

首次运行时，后门会执行三项核心操作：扫描共享存储的完整目录结构、提取通讯录、拉取通话记录和短信内容。这些数据通过硬编码的云存储凭证外传，无需与攻击者服务器直接握手，降低了网络层面的暴露风险。

Windows端的攻击链路同样经过精心设计。RokRAT作为"先遣部队"突破防线，评估目标价值后再决定是否升级部署BirdCall。这种分级投递策略既控制了攻击成本，也减少了高价值工具被过早暴露的可能性。

ScarCruft的"地缘情报"生意

ScarCruft在业界有多个追踪代号：APT37、Reaper。这个组织至少从2012年开始活动，被普遍认定为朝鲜国家级网络间谍力量。其核心任务是为平壤收集战略情报，传统目标包括韩国政府机构、军事单位和涉朝利益产业。

延边地区进入其视野并不意外。这里是中朝边境的关键节点，生活着大量与朝鲜半岛有血缘、文化、经济纽带的人群。对于关注脱北者动向、跨境人员流动、民间舆论的朝鲜情报部门而言，渗透这个社区的游戏平台是高效的信息采集渠道。

棋牌游戏的社交属性放大了情报价值。玩家通讯录可能包含跨境亲属关系，短信记录可能暴露资金往来渠道，存储文件可能涉及身份文档。这些碎片拼凑起来，就是完整的人员画像。

供应链攻击的"降维"打法

这次行动展示了国家级黑客组织如何将供应链攻击"轻量化"。传统认知中，供应链攻击指向SolarWinds级别的软件巨头入侵——投入大、周期长、影响广。ScarCruft选择了一个区域性的垂直平台，用相对低成本的Web服务器入侵，实现了精准的地理和人群定向。

游戏作为攻击载体有几个隐蔽优势：更新频率高，用户对版本变化不敏感；社交属性强，天然需要通讯录等敏感权限；休闲场景下，安全警惕性被进一步稀释。更重要的是，这类本土平台往往缺乏企业级安全响应能力——ESET的通报石沉大海就是例证。

跨平台覆盖是另一个值得注意的趋势。Windows端抓办公场景，Android端抓移动社交，iOS端因技术门槛暂时豁免。这种"全渠道"思维让单一设备的清洁无法阻断监控链条，用户在游戏账号、社交关系、设备生态之间无缝切换时，攻击者也在同步收割。

为什么这件事值得产品人关注

第一，攻击面正在向"长尾应用"转移。不是每个产品都有SolarWinds的体量，但每个产品都可能成为特定人群的"关键基础设施"。区域化、垂直化、社区化的产品尤其需要重新评估自身在攻击者眼中的战略价值。

第二，权限模型需要重新设计。Android版BirdCall的感染依赖用户对游戏应用的基本授权——存储、通讯录、短信。这些权限在棋牌游戏场景下看似合理，却构成了完整的监控拼图。产品如何在功能需求与隐私最小化之间找到新平衡点，是下一个设计命题。

第三，供应链安全的责任边界在模糊。sqgame并非恶意代码的编写者，但其分发渠道被劫持后，用户信任瞬间转化为伤害来源。对于依赖第三方SDK、云存储、更新服务的产品而言，这次攻击是一记警钟：你的安全链条有多长，攻击者的入口就有多宽。

如果你负责的产品服务特定地理或文化社群，建议立即做三件事：审计所有分发渠道的访问日志，排查非预期的文件修改时间戳；检查更新包的签名验证机制，确保客户端拒绝未经认证的版本；重新梳理权限申请清单，对"合理但过度"的授权请求保持警觉。供应链攻击不会只发生在 headlines 里的大公司身上——你的用户规模越小，被定向盯上的风险可能越高。