- La pandilla norcoreana APT37 (ScarCruft) compromete una plataforma de juegos Yanbian para distribuir Birdcall Backdoor
- En Windows, permite el robo de datos y la ejecución de comandos; En Android, excluye contactos, mensajes, medios y audio ambiental.
- Malware mantenido activamente, versiones de Android aún alojadas, dirigido a personas de etnia coreana y desertores en China.
Los actores de amenazas patrocinados por el Estado de Corea del Norte aparentemente están apuntando a sus compatriotas que viven en (o transitan por) China con puertas traseras avanzadas de Android en todas las plataformas de juegos.
Un informe de los investigadores de seguridad ESET afirma haber identificado un ataque avanzado a la cadena de suministro que probablemente comenzó a finales de 2024. Los actores de amenazas, probablemente ScarCruft (también conocido como APT37 o Reaper), lograron comprometer SQgame, un servicio de juegos multiplataforma diseñado específicamente para los yanbianos.
La Prefectura Autónoma Coreana de Yanbian es una prefectura autónoma en la provincia de Jilin, China. Está situado cerca de la frontera entre Corea del Norte y Rusia y se estableció para dar autonomía administrativa a la gran población de etnia coreana que vive allí. Según ESET, Yanbian es también un punto de cruce clave para los refugiados y desertores norcoreanos, lo que podría ser una razón para atacarlo.
El artículo continúa a continuación.
Malware de canto de pájaros
“En el ataque, posiblemente ejecutándose desde finales de 2024, ScarCruft comprometió componentes de Windows y Android de una plataforma de videojuegos dedicada a juegos con temática de Yanbian, troyanizándolos a través de una puerta trasera”, dijo ESET.
La puerta trasera se llama Birdcall y puede hacer diferentes cosas dependiendo de la plataforma en la que esté instalada. En Windows, puede tomar capturas de pantalla, registrar pulsaciones de teclas, robar el contenido del portapapeles, ejecutar comandos de shell y filtrar datos. Luego, toda la información robada se carga en servicios legítimos en la nube, como Dropbox o PCloud.
En Android, las cosas son un poco diferentes, lo que permite a Scarcraft filtrar listas de contactos, mensajes SMS, registros de llamadas, archivos multimedia, documentos, capturas de pantalla e incluso audio ambiental. Hasta ahora, el malware se ha actualizado siete veces, lo que lleva a los investigadores a creer que se mantiene activamente.
ESET dice que la plataforma todavía alberga juegos maliciosos. Sin embargo, estos parecen estar limitados a la plataforma Android.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
