El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, descubrió un ataque que comprometió una plataforma de juegos para Windows y Android y distribuyó backdoors que permiten acceder y controlar los sistemas de forma remota, con el objetivo de robar información.
El ataque fue llevado a cabo por el grupo APT ScarCruft, alineado con Corea del Norte, y está dirigido a la región de Yanbian en China, hogar de una importante comunidad de etnia coreana y punto de tránsito para refugiados y desertores norcoreanos. El objetivo de la campaña es el espionaje, con capacidades para recolectar datos personales y documentos, tomar capturas de pantalla y realizar grabaciones de audio.
Uno de los juegos de cartas troyanizado fue el llamado 延边红十 (traducción: Yanbian Red Ten), rastreado por ESET hasta su sitio web oficial, es una plataforma que ofrece juegos tradicionales de la región de Yanbian para Windows, Android e iOS. Los usuarios pueden competir en juegos de cartas y de mesa con amigos o participar en torneos organizados.
Juegos y el cibercrimen
Según pudo determinar ESET, el cliente Windows de la plataforma de juegos fue comprometido mediante una actualización maliciosa que derivó en dos backdoors. Los juegos Android disponibles en la plataforma fueron troyanizados para incluir la versión Android del backdoor llamado BirdCall.
BirdCall es un backdoor para Windows que cuenta con amplias capacidades de espionaje, incluyendo captura de pantalla, registro de teclas y contenido del portapapeles, robo de credenciales y archivos, y ejecución de comandos en el sistema. Para la comunicación con los atacantes (C&C), utiliza servicios legítimos de almacenamiento en la nube como Dropbox o iCloud, así como sitios web comprometidos.
La versión Android, detectada en este ataque, implementa: recolección de contactos, SMS, registros de llamadas, documentos, archivos multimedia y claves privadas. También puede realizar capturas de pantalla y grabar audio ambiental. Según la investigación de ESET, BirdCall para Android fue desarrollado activamente durante varios meses ya que se identificaron siete versiones, desde la versión 1.0 (octubre de 2024) hasta la 2.0 (junio de 2025).
Dos de los juegos Android disponibles en el sitio web de sqgame fueron encontrados troyanizados para contener el backdoor BirdCall. ESET muestra la página de descarga disponible con los botones de descarga de los dos juegos infectados resaltados en rojo.
“Encontramos evidencia de que las víctimas descargaron los juegos troyanizados a través de un navegador web en sus dispositivos y probablemente los instalaron de forma intencional. No se identificaron otras ubicaciones desde donde se distribuyeran los APK. Tampoco se encontraron los APK maliciosos en la tienda oficial Google Play. No se pudo determinar cuándo el sitio web fue comprometido por primera vez, pero sobre la base de nuestro análisis del malware desplegado, estimamos que ocurrió a finales de 2024”, comenta Filip Jurčacko Investigador de malware de ESET.
ScarCruft, también conocido como APT37 o Reaper, ha estado activo al menos desde 2012 y se sospecha que es un grupo de ciberespionaje vinculado a Corea del Norte. Su foco principal ha sido Corea del Sur, aunque también dirigió ataques a otros países de Asia. El grupo tiende a enfocarse en organizaciones gubernamentales y militares, así como en empresas de diversos sectores alineados con los intereses norcoreanos. También dirigió operaciones contra desertores norcoreanos.
Puedes revisar más información relativa a noticias de tecnología | Instagram | YouTube | Anuncios y Publicidad (50% OFF)
About The Author
