El equipo de investigación de ESET descubrió un ataque que comprometió una plataforma de juegos para Windows y Android y distribuyó backdoors que permiten acceder y controlar los sistemas de forma remota, con el objetivo de robar información.
El ataque fue llevado a cabo por el grupo APT ScarCruft, alineado con Corea del Norte, y está dirigido a la región de Yanbian en China, hogar de una importante comunidad de etnia coreana y punto de tránsito para refugiados y desertores norcoreanos. El objetivo de la campaña es el espionaje, con capacidades para recolectar datos personales y documentos, tomar capturas de pantalla y realizar grabaciones de audio.
El juego de cartas troyanizado llamado 延边红十 (traducción: Yanbian Red Ten), rastreado por ESET hasta su sitio web oficial, es una plataforma que ofrece juegos tradicionales de la región de Yanbian para Windows, Android e iOS. Los usuarios pueden competir en juegos de cartas y de mesa con amigos o participar en torneos organizados.
Según pudo determinar ESET, el cliente Windows de la plataforma fue comprometido mediante una actualización maliciosa que derivó en dos backdoors. Los juegos Android disponibles en la plataforma fueron troyanizados para incluir la versión Android del backdoor llamado BirdCall que cuenta con amplias capacidades de espionaje, como captura de pantalla, registro de teclas y contenido del portapapeles, robo de credenciales y archivos, y ejecución de comandos en el sistema. Para la comunicación con los atacantes (C&C), utiliza servicios legítimos de almacenamiento en la nube como Dropbox o pCloud, así como sitios web comprometidos.
La versión Android, detectada en este ataque, implementa: recolección de contactos, SMS, registros de llamadas, documentos, archivos multimedia y claves privadas. También puede realizar capturas de pantalla y grabar audio ambiental. Según la investigación de ESET, BirdCall para Android fue desarrollado activamente durante varios meses ya que se identificaron siete versiones, desde la versión 1.0 (octubre de 2024) hasta la 2.0 (junio de 2025).
Dos de los juegos Android disponibles en el sitio web de sqgame fueron encontrados troyanizados para contener el backdoor BirdCall. ESET muestra la página de descarga disponible con los botones de descarga de los dos juegos infectados resaltados en rojo.
“Encontramos evidencia de que las víctimas descargaron los juegos troyanizados a través de un navegador web en sus dispositivos y probablemente los instalaron de forma intencional. No se identificaron otras ubicaciones desde donde se distribuyeran los APK. Tampoco se encontraron los APK maliciosos en la tienda oficial Google Play. No se pudo determinar cuándo el sitio web fue comprometido por primera vez, pero sobre la base de nuestro análisis del malware desplegado, estimamos que ocurrió a finales de 2024”, comenta Filip Jurčacko Investigador de malware de ESET.
El grupo ScarCruft, también conocido como APT37 o Reaper, ha estado activo al menos desde 2012 y se sospecha que es un grupo de ciberespionaje vinculado a Corea del Norte. Su foco principal ha sido Corea del Sur, aunque también dirigió ataques a otros países de Asia. El grupo tiende a enfocarse en organizaciones gubernamentales y militares, así como en empresas de diversos sectores alineados con los intereses norcoreanos. También dirigió operaciones contra desertores norcoreanos.
