El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, ha revelado el descubrimiento de una operación de ciberespionaje dirigida que comprometió la plataforma de juegos «Yanbian Red Ten» (????). El ataque, atribuido al grupo ScarCruft (vinculado a Corea del Norte), distribuyó programas maliciosos (backdoors) para tomar el control total de dispositivos Windows y Android con el fin de robar información sensible.
El objetivo: Una región clave para los intereses norcoreanos
La campaña se centra específicamente en la región de Yanbian, en China, una zona estratégica por albergar a una numerosa comunidad de etnia coreana y servir como punto de tránsito crítico para refugiados y desertores de Corea del Norte.
A través del juego de cartas troyanizado, que se distribuye a través de su sitio web oficial, los atacantes lograron infiltrarse en los sistemas de los usuarios. El objetivo principal es el espionaje puro, con capacidades para recolectar documentos, capturar pantallas y realizar grabaciones de audio ambiental.
BirdCall: El «pájaro» espía en dispositivos Android
Según el informe técnico de ESET, el ataque utilizó diferentes vectores según el sistema operativo:
- Windows: Los sistemas fueron comprometidos mediante una actualización maliciosa del cliente de juegos, lo que permitió la instalación de dos backdoors.
- Android: Los juegos disponibles en la plataforma fueron troyanizados para incluir el backdoor BirdCall.
Capacidades detectadas en BirdCall para Android:
- Recolección de contactos, mensajes SMS y registros de llamadas.
- Robo de documentos, archivos multimedia y claves privadas.
- Grabación de audio ambiental y capturas de pantalla.
- Ejecución de comandos remotos en el sistema.
Para evitar ser detectados, los atacantes utilizaron servicios legítimos de almacenamiento en la nube, como Dropbox y pCloud, para comunicarse con sus servidores de mando y control (C&C).
Evolución y distribución del ataque
La investigación determinó que BirdCall ha estado en desarrollo activo durante meses. Se identificaron siete versiones del malware, desde la 1.0 (octubre de 2024) hasta la 2.0 (junio de 2025), lo que demuestra un esfuerzo sostenido por perfeccionar la herramienta.
“Encontramos evidencia de que las víctimas descargaron los juegos troyanizados a través de un navegador web en sus dispositivos y probablemente los instalaron de forma intencional. No se identificaron otras ubicaciones desde donde se distribuyeran los APK, ni se encontraron en la tienda oficial Google Play”, comenta Filip Jur?acko, investigador de malware de ESET.
Se estima que el compromiso inicial del sitio web oficial de la plataforma ocurrió a finales de 2024.
¿Quién está detrás del ataque?
El responsable es ScarCruft, también conocido como APT37 o Reaper. Este grupo ha estado activo desde al menos 2012 y es conocido por sus operaciones de ciberespionaje alineadas con los intereses estatales de Corea del Norte.
Tradicionalmente, sus objetivos incluyen:
- Organizaciones gubernamentales y militares.
- Empresas de sectores estratégicos.
- Desertores norcoreanos, siendo este último punto el que conecta directamente con el ataque actual en la región de Yanbian.
ESET recomienda a los usuarios que hayan utilizado esta plataforma de juegos revisar sus sistemas de seguridad y evitar la descarga de aplicaciones fuera de las tiendas oficiales como Google Play, especialmente aquellas que provienen de sitios web que han podido ser comprometidos.
