El equipo de investigación de ESET descubrió un ataque que comprometió una plataforma de juegos para Windows y Android y distribuyó backdoors que permiten acceder y controlar los sistemas de forma remota, con el objetivo de robar información.
El ataque fue llevado a cabo por el grupo APT ScarCruft, alineado con Corea del Norte, y está dirigido a la región de Yanbian en China, hogar de una importante comunidad de etnia coreana y punto de tránsito para refugiados y desertores norcoreanos. El objetivo de la campaña es el espionaje, con capacidades para recolectar datos personales y documentos, tomar capturas de pantalla y realizar grabaciones de audio.
El juego de cartas troyanizado llamado Yanbian Red Ten, rastreado por ESET hasta su sitio web oficial, es una plataforma que ofrece juegos tradicionales de la región de Yanbian para Windows, Android e iOS. Los usuarios pueden competir en juegos de cartas y de mesa con amigos o participar en torneos organizados.
Según pudo determinar ESET, el cliente Windows de la plataforma fue comprometido mediante una actualización maliciosa que derivó en dos backdoors. Los juegos Android disponibles en la plataforma fueron troyanizados para incluir la versión Android del backdoor llamado BirdCall.
BirdCall es un backdoor para Windows que cuenta con amplias capacidades de espionaje, incluyendo captura de pantalla, registro de teclas y contenido del portapapeles, robo de credenciales y archivos, y ejecución de comandos en el sistema. Para la comunicación con los atacantes (C&C), utiliza servicios legítimos de almacenamiento en la nube como Dropbox o pCloud, así como sitios web comprometidos.
La versión Android, detectada en este ataque, implementa: recolección de contactos, SMS, registros de llamadas, documentos, archivos multimedia y claves privadas. También puede realizar capturas de pantalla y grabar audio ambiental. Según la investigación de ESET, BirdCall para Android fue desarrollado activamente durante varios meses ya que se identificaron siete versiones, desde la versión 1.0 (octubre de 2024) hasta la 2.0 (junio de 2025).
“Encontramos evidencia de que las víctimas descargaron los juegos troyanizados a través de un navegador web en sus dispositivos y probablemente los instalaron de forma intencional. No se identificaron otras ubicaciones desde donde se distribuyeran los APK. Tampoco se encontraron los APK maliciosos en la tienda oficial Google Play. No se pudo determinar cuándo el sitio web fue comprometido por primera vez, pero sobre la base de nuestro análisis del malware desplegado, estimamos que ocurrió a finales de 2024”, comenta Filip Jurčacko Investigador de malware de ESET.
Fuente: ESET
