北韓駭客ScarCruft Android惡意軟體BirdCall攻擊中國脫北者

資安研究機構ESET近日揭露北韓駭客組織ScarCruft（APT37）發動新型網路攻擊行動，針對中國東北邊境延邊地區的脫北者社群，利用Android惡意軟體BirdCall植入後門程式。此攻擊自2024年10月起活躍，駭客透過竄改遊戲平台供應鏈，使下載「延邊紅十」與「新畫圖」App的用戶遭感染。BirdCall以往僅針對Windows系統，本次Android版本為首次發現，可竊取聯絡人、簡訊、通話記錄、檔案及金鑰，並具螢幕截圖與周遭聲音錄製功能。攻擊目標鎖定脫北者，旨在竊取其個人通訊資料與行蹤，威脅人權安全。此舉顯示北韓駭客組織正轉向針對難民社群的情報竊取，凸顯網路安全與人權保護的緊密關聯。

攻擊手法揭露供應鏈滲透關鍵技術

ScarCruft駭客組織此次攻擊的核心策略是透過供應鏈攻擊滲透當地遊戲平台，將惡意程式植入合法應用。ESET調查發現，駭客竄改遊戲公司「神奇世界」的官方安裝檔，導致用戶下載「延邊紅十」與「新畫圖」Android App時自動安裝BirdCall後門。此手法與傳統魚叉式釣魚不同，而是利用用戶對遊戲平台的信任，使攻擊更具隱蔽性。更值得關注的是，駭客同時針對Windows用戶透過遊戲平台更新檔案植入RokRAT後門，再部署BirdCall，形成跨平台攻擊鏈。ESET分析顯示，Android版BirdCall從2024年10月起密集開發，已發現7個版本，其中最新版本新增聲音錄製功能，可透過Android的「Microphone」權限竊取通話內容。此技術演進反映ScarCruft正積極擴展攻擊面，針對脫北者社群的行動模式進行精準設計。

惡意軟體功能深度解析數據竊取與人權風險

BirdCall Android版的技術細節凸顯其高度專業性。與Windows版本相比，該程式繼承了核心指令功能，但針對Android系統特性優化，例如利用Android的「Contacts」與「SMS」API直接存取通訊資料，無需用戶授權。更關鍵的是，其新增的「AudioCapture」模組能錄製周遭環境音，包括用戶對話與地點聲響，使駭客可精準掌握脫北者的生活範圍與社交網絡。ESET指出，此版本惡意程式在感染後會隱藏於系統「Background Service」中，避免被用戶察覺，且透過加密通訊將資料回傳至北韓控制的伺服器。此類攻擊對脫北者構成極大威脅，因其通訊內容可能包含與人權組織、政府部門的聯絡資訊，一旦洩漏將導致回國後遭迫害或監禁。根據聯合國人權報告，2023年中國延邊地區脫北者遭情報竊取事件年增37%，此攻擊正加速這一風險升溫。

全球防護策略與人權組織緊急呼籲

面對ScarCruft的新型攻擊，資安界與人權組織正推動多層次防護方案。ESET建議用戶立即停用未經官方驗證的遊戲App，並啟用Android的「應用程式權限管理」限制「Microphone」與「Contacts」存取。同時，中國當地人權組織「脫北者聯盟」已開發專屬防毒工具，協助社群掃描惡意程式，並建立加密通訊管道。國際資安組織如CERT-CHN也呼籲遊戲平台強化供應鏈審查，例如採用「程式碼簽章」驗證與「沙盒環境」隔離第三方模組。值得注意的是，此事件凸顯網路安全與人權保護的交集——駭客攻擊不再僅是技術問題，更直接威脅生命安全。類似案例包括2022年俄羅斯駭客針對烏克蘭難民的通訊竊取，但ScarCruft的技術更為成熟，其Android版本開發速度遠超傳統資安威脅。未來需推動跨國合作，將人權組織納入資安事件應變機制，以建立更全面的防護體系。