文章总结： 2026年5月ESET报告显示朝鲜APT组织Scarcruft通过入侵小众游戏平台发动供应链攻击，篡改Windows与Android游戏安装包捆绑BirdCall后门。该后门可窃取通讯录、短信、文件、录音、截图等数据，并利用正规云盘作为C2服务器隐蔽通信。建议用户仅从官方商店下载应用、警惕敏感权限、卸载来源不明游戏以防范风险。 综合评分： 85 文章分类： 供应链安全,恶意软件,漏洞预警,移动安全,终端安全

警惕！玩个游戏竟被全程监控：朝鲜APT组织发动游戏平台供应链攻击，手机电脑全被窃密

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年5月17日 12:01 广东

在小说阅读器读本章

去阅读

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

玩本地棋牌、休闲小游戏，居然会引来国家级APT组织窃密？

2026年5月，ESET发布重磅报告：长期活跃的APT组织ScarCruft（APT37/Reaper），通过入侵一款小众游戏平台，发动跨平台供应链攻击。玩家一旦下载安装平台内的游戏，手机与电脑会被悄悄植入BirdCall后门，通讯录、短信、文件、录音、截图全被窃取。

这不是普通的黑客盗号，而是一场长期、隐蔽、无差别的间谍式监控。更可怕的是，恶意程序就藏在官方安装包内，普通人几乎无法分辨。

一、游戏平台被攻陷：官方下载链接=后门入口

攻击者从2024年底开始入侵某款区域特色游戏平台，先后篡改Windows客户端更新包与Android安装包，把后门捆绑进正常游戏：

Windows端：通过恶意更新推送木马，最终部署BirdCall后门

Android端：两款热门卡牌/休闲游戏被篡改，植入全新安卓版BirdCall

安装包放在官方下载页，图标、玩法、界面完全正常

受害者以为安装了正规小游戏，实际上设备已被彻底控制。

二、BirdCall有多恐怖？你的设备变成“监控器”

这款后门早在2021年就被曝光，这次更新推出安卓专用版，监控能力全面升级：

📱 安卓端可窃取：

通讯录、通话记录、短信内容

设备信息（IMEI/MAC/IP/型号）

文档、图片、音频、密钥等敏感文件

实时屏幕截图

环境录音（晚7点–10点定时开启）

💻 Windows端可窃取：

键盘记录、剪贴板内容

浏览器密码、各类账号凭证

微信/聊天软件记录

摄像头拍照、屏幕监控

执行远程指令、上传下载文件

更隐蔽的是：

后门利用正规云盘作为C2服务器（Zoho WorkDrive、pCloud等），流量看起来完全正常，防火墙很难拦截。

三、攻击套路拆解：3步把你“悄悄套牢”

1. 供应链投毒

攻击者入侵游戏平台官网，替换安装包为木马版，不需要钓鱼、不需要诱骗，你主动下载就中招。

2. 多级隐藏免杀

电脑端：恶意代码藏在系统库mono.dll，启动后释放木马，再自动换回干净文件

手机端：修改启动入口，先运行木马，再正常启动游戏

检测虚拟机、调试工具，发现就不激活，躲避安全分析

3. 长期潜伏窃密

后门开机自启、后台保活，按指令定时偷数据、录音、截图，像间谍一样长期驻扎。

四、为什么这次攻击非常危险？

1. 供应链投毒最难防

官方链接、正规图标、正常运行，普通用户和企业都难以识别。

2. 跨平台覆盖

同时针对Windows与Android，个人设备一旦中招，工作资料、家庭信息、隐私文件全都外泄。

3. APT组织长期作业

ScarCruft是国家级背景APT组织，目标不是赚钱，而是长期情报收集，一旦被盯上很难脱身。

4. 云信道隐蔽

不用可疑IP，只用正规云盘收发指令，传统安防设备几乎“看不见”。

五、普通人必看：3招立刻避险

1. 只从正规应用商店下载

坚决不扫二维码、不装官网APK、不装小众第三方游戏大厅。

2. 警惕这类“正常权限”

小游戏却要求：

读取通讯录/短信

录音/拍照

读取全部文件

设备信息、IMEI、位置

一项都不该给。

3. 手机/电脑自查

卸载来源不明的棋牌、休闲、地方特色游戏

查看后台可疑服务、自启动程序

查看是否有应用在后台频繁上传流量

安装正规安全软件全盘扫描

结语：你玩的不是游戏，是监控

在APT组织的眼里，任何高频使用的轻量应用都可能变成监听入口。

游戏、工具、输入法、桌面插件……供应链攻击正在变得更普遍、更隐蔽。

保持安全很简单：

少装小众软件、少开敏感权限、只信官方商店。

如果你不想被“游戏后门”盯上，这篇文章一定要转给家人和同事。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《警惕！玩个游戏竟被全程监控：朝鲜APT组织发动游戏平台供应链攻击，手机电脑全被窃密》