El grupo de investigadores de ESET, ESET Research, ha descubierto un ataque multiplataforma a la cadena de suministro llevado a cabo por el grupo APT ScarCruft, alineado con Corea del Norte. La campaña se dirige a la región de Yanbian, en China – hogar de población coreana étnica y punto de paso para refugiados y desertores norcoreanos.

En este ataque, que probablemente está en curso desde finales de 2024, ScarCruft comprometió los componentes para Windows y Android de una plataforma de videojuegos centrada en juegos temáticos de Yanbian. Ambos fueron troyanizados mediante la implantación de una puerta trasera denominada BirdCall, conocida inicialmente por dirigirse únicamente a Windows y cuya versión para Android fue identificada posteriormente como parte de esta operación.

La versión de Android de BirdCall implementa un subconjunto de las capacidades de su equivalente en Windows. Puede recopilar contactos, mensajes SMS, registros de llamadas, documentos, archivos multimedia y claves privadas, además de realizar capturas de pantalla y grabar audio del entorno. Según ESET, esta versión ha sido desarrollada activamente durante varios meses y se han desplegado al menos siete variantes.

Dado que el sitio web comprometido está orientado a la población de Yanbian y a sus juegos tradicionales, ESET concluye que los principales objetivos son los coreanos étnicos que viven en esta región. Es probable que la campaña estuviera dirigida a recopilar información sobre personas consideradas de interés para el régimen norcoreano – muy probablemente refugiados o desertores.

El cliente de Windows de la plataforma fue comprometido mediante una actualización maliciosa que introdujo la puerta trasera RokRAT, la cual desplegó la más sofisticada BirdCall. “Las víctimas descargaron los juegos troyanizados a través de un navegador web desde una única página en sus dispositivos y probablemente los instalaron de forma intencionada. No identificamos otras ubicaciones de APK ni APK maliciosos en la tienda oficial Google Play. No pudimos determinar cuándo se comprometió por primera vez el sitio web ni cuándo comenzó el ataque a la cadena de suministro. Sin embargo, basándonos en nuestro análisis del malware desplegado, estimamos que ocurrió a finales de 2024”, afirma Filip Jurčacko, investigador de ESET que descubrió el último ataque de ScarCruft.

La puerta trasera para Windows fue descubierta inicialmente en 2021 y atribuida a ScarCruft en informes previos de inteligencia de amenazas de ESET. Esta versión cuenta con amplias capacidades de espionaje, como la captura de pantalla, el registro de pulsaciones de teclado y del contenido del portapapeles, el robo de credenciales y archivos, y la ejecución de comandos de shell. Para comunicarse con sus servidores de mando y control (C&C), utiliza servicios legítimos de almacenamiento en la nube como Dropbox o pCloud, así como sitios web comprometidos.

ScarCruft, también conocido como APT37 o Reaper, lleva operando al menos desde 2012 y se sospecha que es un grupo de espionaje norcoreano. Se centra principalmente en Corea del Sur, aunque también ha dirigido ataques a otros países asiáticos, especialmente contra organizaciones gubernamentales y militares, así como empresas vinculadas a los intereses de Corea del Norte. El grupo también ha atacado a desertores norcoreanos.

Para más detalles sobre BirdCall, consulta la última publicación del blog de ESET Research “A rigged game: ScarCruft compromises gaming platform in a supply-chain attack” en WeLiveSecurity.com. Sigue a ESET Research en X, BlueSky y Mastodon para conocer las últimas novedades.