Publicado: mayo 10, 2026, 9:24 am
Los ciberataques cada vez son más difíciles de detectar, ya que se esconden en herramientas que utilizamos todos los días. El espionaje es una variante de este tipo de ataques que no ataca solo a instituciones importantes, sino que se camufla a la perfección en aplicaciones e incluso videojuegos. Esto es justamente lo que han destapado los investigadores de ESET al descubrir que un grupo asociado a Corea del Norte espió a gente en China a través de una plataforma de juegos.
Informan de que este ataque fue realizado por el grupo ScarCruft, también conocido como APT37 o Reaper, que lleva activo desde 2012 y se cree que trabaja para Corea del Norte. Se les atribuyen ataques a gobiernos, organizaciones militares y también a desertores coreanos. Centrándonos en esta campaña, el objetivo de la misma apunta a la región china de Yanbian, lugar donde vive una importante comunidad de origen coreano y es una zona de paso obligado para los refugiados.
Aseguran que el ataque, que pudo haber comenzado a finales de 2024 y seguir activo, se basó en modificar una plataforma de videojuegos tradicionales de Yanmbian. Lo que hicieron fue alterar la versión para Windows y de Android, incorporando programas espía sin que los usuarios se dieran cuenta. Este ataque se conoce como ataque a la cadena de suministro porque el software original se manipula antes de que llegue al usuario.
La amenaza de BirdCall
La principal arma que se utiliza tiene el nombre de BirdCall y tiene diferentes funciones, aunque otras similares, dependiendo de si se utiliza en Android o Windows.
- Lo que puede hacer en Android: Recopilar contactos, mensajes SMS, registros de llamadas, documentos, archivos multimedia y claves privadas. Además, puede realizar capturas de pantalla y grabar el sonido del entorno.
- Lo que puede hacer en Windows: Registrar las teclas que escribe el usuario, capturar el contenido del portapapeles, robar archivos y credenciales, además de ejecutar comandos sin que la víctima se entere.
Afirman que la versión de Android ha sido trabajada durante meses y, al menos, se han encontrado como siete variantes diferentes. Por su parte, los ordenadores con Windows se infectaban mediante una actualización maliciosa, ya que primero se instalaba otra herramienta llamada RokRAT. Esta permitía desplegar una versión mejorada de BirdCall.
Muy complejo de detectar
Los investigadores reconocen que su detección es compleja porque para comunicarse con los servidores de control utiliza servicios legítimos en la nube como Dropbox o pCloud, así como sitios web comprometidos. Lo que ocurrió fue que las víctimas descargaron los juegos desde una única página web alterada e instalaron los juegos sin conocer lo que ocultaban. Eso sí, en Play Store no se han encontrado apps afectadas.
Todo apunta a que el objetivo era obtener información sobre las personas coreanas que viven en Yanbian y que pudieran ser consideradas de interés para el régimen norcoreano.
