El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, ha revelado el descubrimiento de una operación de ciberespionaje dirigida que comprometió la plataforma de juegos «Yanbian Red Ten» (????). El ataque, atribuido al grupo ScarCruft (vinculado a Corea del Norte), distribuyó programas maliciosos (backdoors) para tomar el control total de dispositivos Windows y Android con el fin de robar información sensible.
La campaña se centra específicamente en la región de Yanbian, en China, una zona estratégica por albergar a una numerosa comunidad de etnia coreana y servir como punto de tránsito crítico para refugiados y desertores de Corea del Norte.
A través del juego de cartas troyanizado, que se distribuye a través de su sitio web oficial, los atacantes lograron infiltrarse en los sistemas de los usuarios. El objetivo principal es el espionaje puro, con capacidades para recolectar documentos, capturar pantallas y realizar grabaciones de audio ambiental.
Según el informe técnico de ESET, el ataque utilizó diferentes vectores según el sistema operativo:
Capacidades detectadas en BirdCall para Android:
Para evitar ser detectados, los atacantes utilizaron servicios legítimos de almacenamiento en la nube, como Dropbox y pCloud, para comunicarse con sus servidores de mando y control (C&C).
La investigación determinó que BirdCall ha estado en desarrollo activo durante meses. Se identificaron siete versiones del malware, desde la 1.0 (octubre de 2024) hasta la 2.0 (junio de 2025), lo que demuestra un esfuerzo sostenido por perfeccionar la herramienta.
“Encontramos evidencia de que las víctimas descargaron los juegos troyanizados a través de un navegador web en sus dispositivos y probablemente los instalaron de forma intencional. No se identificaron otras ubicaciones desde donde se distribuyeran los APK, ni se encontraron en la tienda oficial Google Play”, comenta Filip Jur?acko, investigador de malware de ESET.
Se estima que el compromiso inicial del sitio web oficial de la plataforma ocurrió a finales de 2024.
El responsable es ScarCruft, también conocido como APT37 o Reaper. Este grupo ha estado activo desde al menos 2012 y es conocido por sus operaciones de ciberespionaje alineadas con los intereses estatales de Corea del Norte.
Tradicionalmente, sus objetivos incluyen:
ESET recomienda a los usuarios que hayan utilizado esta plataforma de juegos revisar sus sistemas de seguridad y evitar la descarga de aplicaciones fuera de las tiendas oficiales como Google Play, especialmente aquellas que provienen de sitios web que han podido ser comprometidos.
Fuente: En Segundos