- Grupo norte-coreano ScarCruft (APT37) inseriu o backdoor BirdCall em jogos da plataforma SQGames, usados para monitorar refugiados e dissidentes na região de Yanbian, na China.
- A operação afeta versões de Windows e Android dos jogos disponíveis no SQGames; versão Android com BirdCall foi descoberta pela primeira vez, enquanto a versão para Windows já era conhecida desde 2021.
- O BirdCall coleta dados no dispositivo, como arquivos, contatos, registros de chamadas, mensagens, localização e pode gravar áudio, além de enviar informações periodicamente aos atacantes.
- O malware usa serviços de nuvem legítimos, especialmente Zoho WorkDrive, para a troca de dados com os operadores, dificultando a detecção.
- Entre outubro de 2024 e junho de 2025, a versão Android do BirdCall teve pelo menos sete variantes (da versão 1.0 à 2.0); a ESET notificou a SQGames em dezembro de 2025, mas os arquivos continuavam disponíveis no site.
O grupo norte-coreano APT37, também conhecido como ScarCruft ou Reaper, está por trás de uma operação de espionagem digital que infectou jogos para Android na plataforma SQGames. A ação, concentrada na região de Yanbian, na China, buscou monitorar refugiados e dissidentes da comunidade coreana local.
Segundo a pesquisa da ESET, o objetivo foi coletar dados de usuários por meio de um backdoor embutido em dois jogos Android disponíveis no site SQGame. O malware, batizado BirdCall, foi inserido nos títulos sem o conhecimento dos desenvolvedores originais, que mantinham as versões legítimas no servidor.
O que aconteceu, quem está envolvido e quando
O ataque, ainda em curso, deve remontar ao final de 2024. O BirdCall já tinha uma versão para Windows conhecida desde 2021; a versão para Android foi identificada apenas recentemente. A ESET aponta o ScarCruft como responsável, ligado ao governo norte-coreano e ativo desde 2012.
Como o BirdCall funciona no celular
Ao abrir o jogo infectado, o BirdCall coleta a lista de arquivos do dispositivo, além de contatos, registro de chamadas e mensagens. O malware envia dados básicos do aparelho e localização aproximada periodicamente para os atacantes. Também busca arquivos com formatos comuns (jpg, doc, xls, pdf, p12) para exfiltração.
Comunicação com os atacantes e uso de nuvem
Os dados coletados são transmitidos por meio de serviços de armazenamento na nuvem, utilizando contas do Zoho WorkDrive para comunicação com os operadores. Essa tática facilita a passagem de informações sem acender alertas de segurança.
Detalhes sobre a cadeia de ataque no Windows
No Windows, o instalador do cliente parecia limpo, mas atualizações automáticas estavam comprometidas desde novembro de 2024. O arquivo mono.dll, modificado, carregava o BirdCall ao instalar um componente adicional denominado RokRAT, já associado ao ScarCruft.
Alvo, contexto geográfico e histórico do grupo
Yanbian abriga a maior comunidade coreana fora da península. A região, na fronteira com a Coreia do Norte, é usada por refugiados e dissidentes que tentam deixar o país. O ScarCruft tem histórico de ataques contra esses grupos e organizações militares e governamentais em países asiáticos.
Desenvolvimento Android e status atual
Entre outubro de 2024 e junho de 2025, o BirdCall passou por sete versões para Android, de 1.0 a 2.0. A plataforma SQGame foi notificada pela ESET sobre o comprometimento em dezembro de 2025, mas os arquivos maliciosos ainda estavam disponíveis no site na ocasião da publicação.
Observações finais
A campanha evidencia a utilização de jogos legítimos como vetor de espionagem em regiões com comunidades sensíveis. A prática combina infecção de apps, exfiltração de dados e comunicação encoberta via serviços de nuvem, fortalecendo a necessidade de verificação de aplicativos antes do download.
Entre na conversa da comunidade