Uma operação de espionagem digital utiliza jogos para monitorar uma comunidade coreana na região de Yanbian, na China. Conforme aponta o relatório da ESET, o grupo responsável seria o ScarCruft, também chamado de APT37 ou Reaper, ligado ao governo norte-coreano e ativo desde pelo menos 2012.
O ataque, provavelmente em andamento desde o final de 2024, comprometeu as versões de Windows e de Android de jogos disponíveis na plataforma SQGames. O site hospeda títulos tradicionais da região, como jogos de cartas e tabuleiro, que podem ser baixados e usados para competir com amigos ou participar de torneios.
Jogos de celular infectados na origem
Dois dos jogos para Android disponíveis no site SQGame foram encontrados com um backdoor embutido. Backdoor é um tipo de programa malicioso que possibilita acesso oculto ao dispositivo da vítima, permitindo que invasores coletem dados sem que o usuário perceba.
O malware inserido nos jogos é chamado de BirdCall. A versão para Windows já era conhecida desde 2021, mas a versão para Android foi descoberta somente agora. Internamente, o código do malware usa o nome "zhuagou", que em chinês significa "pegar cachorros".
Os pesquisadores acreditam que o ScarCruft não teve acesso ao código-fonte dos jogos. O grupo obteve os arquivos originais, adicionou o código malicioso e os recolocou no servidor, substituindo as versões legítimas. Quem baixava o jogo pelo site oficial instalava automaticamente o malware junto.
O que o vírus faz no celular
Assim que o jogo infectado é aberto, o BirdCall começa a trabalhar em segundo plano. Na primeira execução, ele coleta uma lista completa dos arquivos armazenados no aparelho, além de contatos, registros de chamadas e mensagens SMS.
Depois disso, o malware passa a agir de forma periódica. Ele envia informações básicas do dispositivo para os servidores dos atacantes, incluindo modelo do aparelho, endereço IP, tipo de rede e status de root — termo que indica se o usuário tem controle total sobre o sistema do celular. Também coleta a localização geográfica aproximada via internet.
O BirdCall ainda busca arquivos com extensões específicas para enviá-los aos atacantes. Os formatos visados incluem fotos (.jpg), documentos do Word e Excel (.doc, .docx, .xls, .xlsx), PDFs, apresentações em PowerPoint e arquivos de certificado digital (.p12). Ou seja, tanto arquivos pessoais quanto profissionais estão no alvo.
Além disso, o malware pode tirar capturas de tela do celular e gravar o áudio do ambiente pelo microfone. A gravação de áudio, quando ativada, funciona apenas em um período específico do dia, entre 19h e 22h, no horário local da vítima.
Como a comunicação com os atacantes funciona
Para enviar os dados coletados sem levantar suspeita, o BirdCall usa serviços legítimos de armazenamento na nuvem. Durante a investigação, os pesquisadores identificaram 12 contas no Zoho WorkDrive, serviço de armazenamento de arquivos, usadas como canal de comunicação entre o malware e os atacantes.
Essa técnica é comum em grupos de espionagem sofisticados porque o tráfego para serviços conhecidos como Zoho ou pCloud dificilmente é bloqueado por ferramentas de segurança corporativas ou residenciais.
A versão para Windows seguiu caminho diferente
No computador, o ataque funcionou de outra forma. O instalador do cliente Windows disponível no site estava limpo, mas as atualizações automáticas do programa estavam comprometidas desde pelo menos novembro de 2024. Ao atualizar o software, o usuário recebia uma versão modificada de um arquivo de sistema chamado mono.dll.
Esse arquivo carregava um outro malware chamado RokRAT, que por sua vez instalava o BirdCall na máquina. O RokRAT é um backdoor já associado ao ScarCruft em campanhas anteriores. Na época da análise, o arquivo de atualização malicioso já havia sido substituído por uma versão limpa.
Quem era o alvo e por quê
A região de Yanbian é habitada pela maior comunidade coreana fora da península coreana. Pela localização geográfica, na fronteira com a Coreia do Norte, a área também funciona como rota de passagem para refugiados e dissidentes que tentam deixar o país.
Os pesquisadores concluem que o objetivo da campanha era coletar informações sobre pessoas nessa região que pudessem ser de interesse para o regime norte-coreano, com foco especial em refugiados e dissidentes. O ScarCruft tem histórico de ataques contra esse perfil de alvo, além de organizações militares e governamentais em países asiáticos.
Sete versões em poucos meses
A versão Android do BirdCall passou por desenvolvimento ativo entre outubro de 2024 e junho de 2025, período em que foram identificadas sete versões diferentes, da 1.0 à 2.0. Isso indica que o grupo continuou aprimorando a ferramenta ao longo do tempo.
A ESET notificou a plataforma sqgame sobre o comprometimento em dezembro de 2025, mas não recebeu resposta. No momento da publicação da pesquisa, os arquivos maliciosos ainda estavam disponíveis para download no site.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.