¡CUIDADO! Ciberdelincuentes usan RECONOCIDA plataforma de VIDEOJUEGOS para espiar y robar datos
El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, descubrió un ataque que comprometió una plataforma de juegos para Windows y Android y distribuyó backdoors que permiten acceder y controlar los sistemas de forma remota, con el objetivo de robar información.
El ataque fue llevado a cabo por el grupo APT ScarCruft, alineado con Corea del Norte, y está dirigido a la región de Yanbian en China, hogar de una importante comunidad de etnia coreana y punto de tránsito para refugiados y desertores norcoreanos. El objetivo de la campaña es el espionaje, con capacidades para recolectar datos personales y documentos, tomar capturas de pantalla y realizar grabaciones de audio.
El juego de cartas troyanizado llamado 延边红十 (traducción: Yanbian Red Ten), rastreado por ESET hasta su sitio web oficial, es una plataforma que ofrece juegos tradicionales de la región de Yanbian para Windows, Android e iOS. Los usuarios pueden competir en juegos de cartas y de mesa con amigos o participar en torneos organizados.
El modus operandi: Actualizaciones falsas y el backdoor "BirdCall"
Según los análisis de la firma de seguridad, el ataque se dividió estratégicamente según el sistema operativo de las víctimas:
- En Windows: El cliente de la plataforma fue comprometido mediante una actualización maliciosa que instalaba dos backdoors en el sistema.
- En Android: Dos de los juegos disponibles en el sitio web fueron modificados para incluir una versión móvil del backdoor llamado BirdCall. Este malware tiene la capacidad de recolectar contactos, mensajes SMS, registros de llamadas, archivos multimedia y claves privadas. Además, puede activar el micrófono para grabar audio ambiental.
"Encontramos evidencia de que las víctimas descargaron los juegos troyanizados a través de un navegador web en sus dispositivos y probablemente los instalaron de forma intencional. No se identificaron otras ubicaciones desde donde se distribuyeran los APK", indicó el investigador.
El perfil del grupo detrás de la amenaza
El grupo responsable, conocido en el ámbito de la ciberseguridad como ScarCruft (así como APT37 o Reaper), cuenta con un historial de operaciones que se remonta al menos al año 2012. Se trata de un actor de amenazas fuertemente vinculado a los intereses estatales de Corea del Norte.
Históricamente, el foco principal de este grupo ha sido Corea del Sur y otros países de la región asiática. Sus objetivos habituales incluyen organizaciones gubernamentales, entidades militares y empresas de diversos sectores estratégicos que se alineen con las prioridades de Pyongyang, además de dirigir operaciones de vigilancia continuas contra desertores norcoreanos.