Investigadores de la firma de seguridad ESET revelaron una campaña de espionaje cibernético que aprovechó una plataforma de juegos para Windows y Android con el objetivo de robar información personal, documentos, contraseñas e incluso grabaciones de audio de las víctimas.
El ataque fue ejecutado por el grupo APT ScarCruft, vinculado a Corea del Norte. El blanco principal fue la región de Yanbian, en China, donde reside una numerosa comunidad de etnia coreana y por donde transitan refugiados y desertores norcoreanos.
Cómo ScarCruft comprometió una plataforma de juegos para distribuir malware de espionaje
El vehículo del ataque fue un juego de cartas llamado 延边红十, conocido en español como Yanbian Red Ten. Esta plataforma ofrece juegos tradicionales de la región de Yanbian para Windows, Android e iOS, permitiendo competir con amigos o participar en torneos organizados.
De acuerdo con ESET, el cliente Windows de la plataforma fue comprometido mediante una actualización maliciosa que resultó en la instalación de dos backdoors, programas que permiten el acceso y control remoto de los sistemas. Por su parte, los juegos Android disponibles fueron troyanizados para incluir el backdoor BirdCall, una herramienta con amplias capacidades de espionaje.
Filip Jurčacko, investigador de malware de ESET, explicó el mecanismo de distribución: “Encontramos evidencia de que las víctimas descargaron los juegos troyanizados a través de un navegador web en sus dispositivos y probablemente los instalaron de forma intencional”. Además, agregó: “No se identificaron otras ubicaciones desde donde se distribuyeran los APK. Tampoco se encontraron los APK maliciosos en la tienda oficial Google Play”.
Qué puede hacer el backdoor BirdCall y cómo se comunica con los atacantes
BirdCall es el componente central del ataque. Su versión para Android es especialmente invasiva: una vez instalado, puede recolectar contactos, SMS, registros de llamadas, documentos, archivos multimedia y claves privadas del dispositivo. También tiene capacidad para tomar capturas de pantalla y grabar audio ambiental sin que el usuario lo note.
En su versión para Windows, las capacidades incluyen captura de pantalla, registro de teclas y contenido del portapapeles, robo de credenciales y archivos, y ejecución de comandos en el sistema.
Para comunicarse con los atacantes, el malware utiliza servicios legítimos de almacenamiento en la nube como Dropbox o pCloud, además de sitios web comprometidos, lo que dificulta su detección por sistemas de seguridad convencionales.
ESET identificó siete versiones de BirdCall para Android, desde la versión 1.0 de octubre de 2024 hasta la 2.0 de junio de 2025, lo que indica que el malware fue desarrollado activamente durante varios meses. Sobre el momento en que el sitio web fue comprometido, Jurčacko señaló: “No se pudo determinar cuándo ocurrió, pero sobre la base de nuestro análisis del malware desplegado, estimamos que ocurrió a finales de 2024”.
Quién es el grupo de ciberespionaje conocido como ScarCruft
ScarCruft, también conocido como APT37 o Reaper, lleva activo al menos desde 2012. Es un grupo de ciberespionaje vinculado a Corea del Norte. Históricamente, su foco principal ha sido Corea del Sur, aunque sus operaciones se han extendido a otros países de Asia.
El grupo suele atacar a organizaciones gubernamentales y militares, empresas de sectores alineados con los intereses norcoreanos y desertores del régimen. La elección de la región de Yanbian como blanco de esta campaña responde a esa misma lógica: una zona con alta concentración de etnia coreana y un punto de tránsito habitual para quienes huyen de Corea del Norte.
Fuente: Infobae