Investigaciones recientes de ESET han revelado un ataque a la cadena de suministro multiplataforma llevado a cabo por el grupo de amenazas avanzadas (APT) ScarCruft, vinculado a Corea del Norte. Este ataque está dirigido a la región de Yanbian en China, donde reside una significativa población de coreanos étnicos y que es un punto de cruce para refugiados y desertores norcoreanos.
Se estima que el ataque ha estado en curso desde finales de 2024 y ha comprometido los componentes de Windows y Android de una plataforma de videojuegos dedicada a juegos temáticos de Yanbian, inyectando un acceso remoto conocido como «BirdCall». Originalmente, esta puerta de enlace se conocía solo en su versión para Windows, mientras que la versión de Android fue descubierta como parte del ataque a la cadena de suministro.
ScarCruft, también conocido como APT37 o Reaper, ha estado activo desde 2012 y se sospecha que se dedica a actividades de espionaje para Corea del Norte. Este grupo tiene un historial de enfocarse en organizaciones gubernamentales y militares, así como en empresas de diversas industrias que son de interés para el régimen norcoreano, incluyendo a desertores norcoreanos.
La versión de Windows de BirdCall, detectada por primera vez en 2021, tiene capacidades de espionaje como la captura de pantalla, el registro de pulsaciones de teclas y la recopilación de credenciales y documentos. Su mecanismo de comando y control utiliza servicios de almacenamiento en la nube legítimos, como Dropbox, mientras que la versión de Android de BirdCall, que se activó en los juegos trojanizados, comparte algunas de estas capacidades.
La plataforma de juegos comprometida, «sqgame», está diseñada para la población de Yanbian. Dos juegos de Android disponibles en su sitio web fueron identificados como contenedores del backdoor BirdCall, mientras que el cliente de Windows, aunque inicialmente limpio, descargaba actualizaciones maliciosas que luego comprometían el sistema.
El ataque tiene como objetivo recopilar información sobre individuos en Yanbian que son considerados de interés para Corea del Norte, particularmente refugiados y desertores. La investigación de ESET es un llamado de atención sobre las amenazas a la ciberseguridad, que no solo afectan a las infraestructuras tecnológicas, sino que también pueden tener implicaciones en la vida de personas en situaciones vulnerables.
Fuente: WeLiveSecurity by eSet.
