El equipo de investigación de ESET identifica una campaña de espionaje, con capacidades para recolectar datos personales y documentos, tomar capturas de pantalla y realizar grabaciones de audio a través de una plataforma de juegos comprometida.
ESET descubrió un ataque que comprometió una plataforma de juegos para Windows y Android y distribuyó backdoors que permiten acceder y controlar los sistemas de forma remota, con el objetivo de robar información.
Amenaza del grupo ScarCruft
El ataque fue llevado a cabo por el grupo APT ScarCruft, alineado con Corea del Norte, y está dirigido a la región de Yanbian en China, hogar de una importante comunidad de etnia coreana y punto de tránsito para refugiados y desertores norcoreanos.
El objetivo de la campaña es el espionaje, con capacidades para recolectar datos personales y documentos, tomar capturas de pantalla y realizar grabaciones de audio.
Características del juego troyanizado
El juego de cartas troyanizado llamado 延 边红十 (traducción: Yanbian Red Ten), rastreado por ESET hasta su sitio web oficial, es una plataforma que ofrece juegos tradicionales de la región de Yanbian para Windows, Android e iOS.
Los usuarios pueden competir en juegos de cartas y de mesa con amigos o participar en torneos organizados. Según pudo determinar ESET, el cliente Windows de la plataforma fue comprometido mediante una actualización maliciosa que derivó en dos backdoors.
Capacidades del backdoor BirdCall
Los juegos Android disponibles en la plataforma fueron troyanizados para incluir la versión Android del backdoor llamado BirdCall que cuenta con amplias capacidades de espionaje, como registro de teclas y contenido del portapapeles, robo de credenciales y archivos, y ejecución de comandos en el sistema.
Para la comunicación con los atacantes (C&C), utiliza servicios legítimos de almacenamiento en la nube como Dropbox o pCloud, así como sitios web comprometidos.
