Investigadores de la firma de seguridad ESET han revelado una sofisticada campaña de ciberespionaje que logró comprometer una plataforma de juegos diseñada para sistemas operativos Windows y Android. El objetivo de este ataque fue el robo de información personal sensible, incluyendo documentos, contraseñas y grabaciones de audio de los usuarios afectados.
Detrás de esta operación se encuentra el grupo de amenaza persistente avanzada (APT) conocido como ScarCruft, una entidad alineada con los intereses de Corea del Norte. Según los hallazgos, el ataque se centró específicamente en la región de Yanbian, en China, una zona geográfica clave debido a la presencia de una importante comunidad de etnia coreana y al tránsito frecuente de refugiados y desertores norcoreanos.
Cómo se distribuyó el malware a través de Yanbian Red Ten
El vehículo principal utilizado para infiltrar el software malicioso fue un popular juego de cartas llamado Yanbian Red Ten (延边红十). Esta plataforma permite a los usuarios disfrutar de juegos tradicionales de la región de Yanbian, competir con amigos y participar en torneos organizados tanto en dispositivos móviles como en computadoras de escritorio.
La investigación determinó que el compromiso se ejecutó de dos maneras principales dependiendo del sistema operativo:
- Windows: El cliente para este sistema fue comprometido mediante una actualización maliciosa que instalaba dos backdoors o puertas traseras. Estas herramientas permiten a los atacantes obtener acceso remoto y control total sobre el equipo infectado.
- Android: Los archivos de instalación (APK) disponibles en el sitio web de la plataforma fueron «troyanizados» para incluir un backdoor específico denominado BirdCall.
De acuerdo con Filip Jurčacko, investigador de malware en ESET, las víctimas descargaron estas aplicaciones directamente desde el sitio web oficial a través de sus navegadores. No se encontró evidencia de que las aplicaciones maliciosas estuvieran presentes en la tienda oficial Google Play, lo que sugiere que los usuarios instalaron el software de forma intencional creyendo que se trataba de la versión legítima del juego.
BirdCall: Las capacidades invasivas del backdoor
El componente central de esta campaña de espionaje es el malware BirdCall. Su versión para Android destaca por ser extremadamente invasiva y por el amplio abanico de permisos que utiliza para extraer datos del dispositivo de la víctima. Entre sus funciones principales se encuentran:
- Recolección de contactos, mensajes SMS y registros de llamadas.
- Robo de documentos, archivos multimedia y claves privadas almacenadas en el dispositivo.
- Capacidad para realizar capturas de pantalla de forma silenciosa.
- Grabación de audio ambiental sin el conocimiento ni el consentimiento del usuario.
Por otro lado, la versión diseñada para Windows también presenta capacidades críticas. Este malware puede registrar las pulsaciones de teclado (keylogging), monitorear el contenido del portapapeles, capturar imágenes de la pantalla, robar credenciales de acceso y ejecutar comandos directamente en el sistema operativo.
El desarrollo de BirdCall parece haber sido un proceso continuo. ESET identificó siete versiones distintas de la herramienta para Android, desde la versión 1.0 detectada en octubre de 2024 hasta la 2.0 en junio de 2025, lo que demuestra un esfuerzo activo por parte de los desarrolladores para mejorar y mantener la efectividad de sus herramientas de espionaje.
Comunicación y exfiltración de datos mediante servicios en la nube
Uno de los aspectos más notables de esta campaña es la infraestructura utilizada por los atacantes para comunicarse con el malware y extraer la información robada. En lugar de depender exclusivamente de servidores propios, ScarCruft empleó servicios legítimos de almacenamiento en la nube, tales como Dropbox y pCloud.
El uso de estas plataformas comerciales dificulta significativamente la detección del ataque por parte de los sistemas de seguridad convencionales, ya que el tráfico de red hacia estos servicios suele considerarse legítimo en la mayoría de los entornos corporativos y domésticos. Además de la nube, el grupo también utilizó sitios web comprometidos previamente para establecer canales de comunicación con los dispositivos infectados.
ScarCruft: Un grupo de amenazas alineado con Corea del Norte
El grupo ScarCruft, también identificado por investigadores de seguridad como APT37 o Reaper, ha estado operativo al menos desde el año 2012. Históricamente, sus operaciones se han centrado en objetivos dentro de Corea del Sur, pero con el tiempo han expandido su alcance a otros países del continente asiático.
Las tácticas de este grupo suelen dirigirse contra sectores específicos que incluyen:
- Organizaciones gubernamentales y entidades militares.
- Empresas en sectores estratégicos alineados con los intereses de Pyongyang.
- Individuos específicos, como desertores del régimen norcoreano.
La elección de la región de Yanbian como blanco de esta campaña refuerza el perfil operativo de ScarCruft. Al ser un punto crítico de tránsito para refugiados, el compromiso de una plataforma de juegos local permite al grupo realizar un seguimiento cercano de personas de interés y recolectar inteligencia valiosa bajo el pretexto de una actividad cotidiana y lúdica.
“Sobre la base de nuestro análisis del malware desplegado, estimamos que el compromiso del sitio web ocurrió a finales de 2024”, señaló Filip Jurčacko.
Este incidente subraya los riesgos asociados a la descarga de software desde fuentes externas a las tiendas oficiales y la capacidad de los grupos de amenazas avanzadas para ocultar sus operaciones dentro de herramientas de uso común.