Revelan cómo una plataforma de juegos para Windows y Android fue usada para espiar y robar datos

El equipo de investigación de ESET descubrió una campaña de espionaje que comprometió una plataforma de juegos para Windows y Android con el objetivo de robar información personal, documentos, contraseñas y grabaciones de audio de los usuarios.

Detrás del ataque está el grupo APT ScarCruft, alineado con Corea del Norte, y el blanco principal es la región de Yanbian, en China, donde vive una importante comunidad de etnia coreana y por donde transitan refugiados y desertores norcoreanos.

Cómo ScarCruft comprometió una plataforma de juegos para distribuir malware de espionaje

El vehículo del ataque fue un juego de cartas llamado 延边红十, conocido en español como Yanbian Red Ten, una plataforma que ofrece juegos tradicionales de la región de Yanbian para Windows, Android e iOS y permite competir con amigos o participar en torneos organizados.

Según determinó ESET, el cliente Windows de la plataforma fue comprometido mediante una actualización maliciosa que derivó en la instalación de dos backdoors, programas que permiten acceder y controlar los sistemas de forma remota. Los juegos Android disponibles en la plataforma fueron troyanizados para incluir el backdoor BirdCall, una herramienta con amplias capacidades de espionaje.

Filip Jurčacko, investigador de malware de ESET, explicó el mecanismo de distribución: “Encontramos evidencia de que las víctimas descargaron los juegos troyanizados a través de un navegador web en sus dispositivos y probablemente los instalaron de forma intencional”.

“No se identificaron otras ubicaciones desde donde se distribuyeran los APK. Tampoco se encontraron los APK maliciosos en la tienda oficial Google Play”, agregó.

Qué puede hacer el backdoor BirdCall y cómo se comunica con los atacantes

BirdCall es el componente central del ataque y su versión Android es especialmente invasiva. Una vez instalado, el malware puede recolectar contactos, SMS, registros de llamadas, documentos, archivos multimedia y claves privadas del dispositivo. También tiene capacidad para tomar capturas de pantalla y grabar audio ambiental sin que el usuario lo sepa.

En su versión para Windows, las capacidades incluyen captura de pantalla, registro de teclas y contenido del portapapeles, robo de credenciales y archivos, y ejecución de comandos en el sistema.

Para comunicarse con los atacantes, el malware utiliza servicios legítimos de almacenamiento en la nube como Dropbox o pCloud, además de sitios web comprometidos, lo que dificulta su detección por parte de los sistemas de seguridad convencionales.

La investigación de ESET identificó siete versiones de BirdCall para Android, desde la versión 1.0 de octubre de 2024 hasta la 2.0 de junio de 2025, lo que indica que el malware fue desarrollado de forma activa durante varios meses.

Sobre el momento en que el sitio web fue comprometido por primera vez, Jurčacko señaló que “no se pudo determinar cuándo ocurrió, pero sobre la base de nuestro análisis del malware desplegado, estimamos que ocurrió a finales de 2024”.

Quién es el grupo de ciberespionaje conocido como ScarCruft

ScarCruft, también conocido como APT37 o Reaper, lleva activo al menos desde 2012. Se trata de un grupo de ciberespionaje que los investigadores vinculan a Corea del Norte y cuyo foco principal ha sido históricamente Corea del Sur, aunque sus operaciones se han extendido a otros países de Asia.

El grupo tiende a dirigir sus ataques contra organizaciones gubernamentales y militares, empresas de sectores alineados con los intereses norcoreanos y desertores del régimen.

La elección de la región de Yanbian como blanco de esta campaña responde a esa misma lógica: se trata de una zona con alta concentración de etnia coreana y un punto de tránsito habitual para quienes huyen de Corea del Norte.