English
Centroamérica.– El equipo de investigación de ESET alertó sobre una campaña de ciberespionaje que utilizó juegos para Windows y Android como mecanismo para distribuir programas maliciosos capaces de robar información y controlar dispositivos de forma remota.
Según la investigación, el ataque fue ejecutado por el grupo APT ScarCruft, también conocido como APT37 o Reaper, vinculado presuntamente con Corea del Norte. La operación estuvo dirigida principalmente a la región de Yanbian, en China, zona donde reside una importante comunidad de etnia coreana y considerada un punto de tránsito para refugiados y desertores norcoreanos.
El informe detalla que los ciberdelincuentes comprometieron una plataforma de juegos llamada “延边红十” (Yanbian Red Ten), utilizada para juegos tradicionales de cartas y mesa en dispositivos Windows, Android e iOS.
También puedes leer: Windows 11 permitirá miniaplicaciones desarrolladas por terceros este año
De acuerdo con ESET, el cliente para Windows fue alterado mediante una actualización maliciosa que instalaba programas tipo backdoor, permitiendo a los atacantes acceder y controlar los equipos infectados a distancia.
En el caso de Android, los investigadores detectaron versiones troyanizadas de los juegos que incorporaban el malware BirdCall, diseñado para realizar labores de espionaje digital. Entre sus capacidades se encuentran la captura de pantallas, grabación de audio ambiental, robo de credenciales, acceso a contactos, mensajes SMS, registros de llamadas, documentos, archivos multimedia y claves privadas.
Además, el software malicioso podía registrar pulsaciones del teclado y copiar contenido almacenado en el portapapeles del dispositivo. Para comunicarse con los atacantes, utilizaba servicios legítimos de almacenamiento en la nube como Dropbox y pCloud, así como sitios web comprometidos.
El investigador de malware de ESET, Filip Jurčacko, explicó que las víctimas aparentemente descargaron e instalaron voluntariamente las aplicaciones infectadas desde un navegador web.
“Encontramos evidencia de que las víctimas descargaron los juegos troyanizados a través de un navegador web en sus dispositivos y probablemente los instalaron de forma intencional”, indicó.
La compañía señaló que no encontró evidencia de que las aplicaciones maliciosas estuvieran disponibles en la tienda oficial Google Play, aunque estima que el sitio web comprometido comenzó a distribuir el malware a finales de 2024.
ESET también informó que el malware BirdCall para Android evolucionó durante varios meses, identificándose al menos siete versiones diferentes entre octubre de 2024 y junio de 2025.
El grupo ScarCruft ha estado activo desde al menos 2012 y suele enfocar sus ataques contra instituciones gubernamentales, organizaciones militares, empresas estratégicas y desertores norcoreanos, principalmente en Corea del Sur y otros países asiáticos.
