## Campagne de malware mobile d'APT37 Les Coréens ethniques résidant dans la région de Yanbian en Chine, près de la frontière nord-coréenne, ont été la cible d'une campagne d'espionnage informatique. Les chercheurs en cybersécurité d'**ESET** ont attribué cette activité à **APT37**, un groupe de pirates présumé affilié au ministère de la Sécurité d'État de la Corée du Nord.  Le vecteur d'attaque impliquait une version modifiée d'une suite de jeux de cartes d'une société nommée **Sqgame**. Les jeux compromis contenaient une backdoor, baptisée **BirdCall**, qui a accordé aux attaquants un accès étendu aux appareils des victimes. ## Backdoor BirdCall : Fonctionnalités et Propagation La backdoor **BirdCall** permet à **APT37** d'effectuer une série d'activités malveillantes, notamment : * Prendre des captures d'écran * Enregistrer des appels * Voler des données personnelles (contacts, SMS, journaux d'appels, fichiers multimédias, clés privées) Les chercheurs pensaient initialement que **BirdCall** ne ciblait que les appareils Windows, mais une version Android a été découverte plus tard. **ESET** a trouvé sept versions différentes de la backdoor Android, indiquant un effort de développement soutenu. Les victimes téléchargeaient généralement les jeux compromis directement via un navigateur web, contournant le magasin **Google Play**, selon le chercheur d'**ESET** Filip Jurčacko. Le fichier initial téléchargé n'était pas malveillant ; la compromission s'est produite via un package de mise à jour malveillant distribué par la plateforme **Sqgame**. ## Historique et Cibles d'APT37 **APT37** est actif depuis 2012, se concentrant principalement sur des campagnes d'espionnage ciblant la Corée du Sud et d'autres pays asiatiques. Leurs cibles comprenaient des organisations gouvernementales et militaires, ainsi que des transfuges nord-coréens. La version Windows de **BirdCall** avait été précédemment identifiée par le fournisseur sud-coréen de cybersécurité **AhnLab** en 2021. **ESET** a contacté **Sqgame** en décembre 2025 mais n'a pas reçu de réponse. Le package de mise à jour malveillant n'est plus distribué. L'année dernière, les chercheurs ont découvert une autre souche de spyware Android développée et utilisée par **APT37**, intégrée dans des applications disponibles sur le magasin **Google Play**. En 2024, **APT37** aurait ciblé des experts universitaires sud-coréens et un média axé sur la Corée du Nord.