El grupo de hackers patrocinado por el estado norcoreano conocido como ScarCruft ha comprometido una plataforma de videojuegos en un ataque de espionaje de cadena de suministro, trojanizando sus componentes con un backdoor llamado BirdCall para apuntar probablemente a coreanos étnicos que residen en China.
Mientras que versiones anteriores del backdoor se dirigían principalmente a usuarios de Windows, se evalúa que el ataque de cadena de suministro permitió a los actores de amenazas apuntar también a dispositivos Android, convirtiéndolo esencialmente en una amenaza multiplataforma.
Según ESET, la campaña se ha centrado en sqgame[.]net, una plataforma de juegos utilizada por coreanos étnicos que viven en la región de Yanbian, en China, fronteriza con Corea del Norte y Rusia. También se sabe que actúa como un punto de tránsito primario y de alto riesgo para los desertores norcoreanos que cruzan el río Tumen.
Filip Jurčacko, investigador senior de malware en ESET, dijo a The Hacker News que la campaña fue descubierta en octubre de 2025, añadiendo que los juegos Android trojanizados todavía están disponibles para su descarga en el sitio web sqgame[.]net.
La selección de esta plataforma se considera una estrategia deliberada, dado el historial de ScarCruft de atacar a desertores norcoreanos, activistas de derechos humanos y profesores universitarios.
"En el ataque, probablemente en curso desde finales de 2024, ScarCruft comprometió componentes Windows y Android de una plataforma de videojuegos dedicada a juegos temáticos de Yanbian, trojanizándolos con un backdoor", dijo la empresa de ciberseguridad eslovaca en un informe compartido con The Hacker News antes de su publicación.
Las versiones para Windows de BirdCall, consideradas una evolución avanzada de RokRAT, se han detectado en la naturaleza desde 2021. Con los años, RokRAT también se ha adaptado para atacar macOS (CloudMensis) y Android (RambleOn), lo que indica que la familia de malware sigue siendo mantenida activamente por los actores de amenazas.
BirdCall está equipado con características típicas de un backdoor, permitiendo la captura de pantallas, registro de teclas, robo de contenido del portapapeles, ejecución de comandos de shell y recopilación de datos. Al igual que RokRAT, el malware se apoya en servicios legítimos en la nube como Dropbox y pCloud para el comando y control (C2).
"BirdCall se despliega generalmente en una cadena de carga de múltiples etapas, comenzando con un script Ruby o Python, y contiene componentes cifrados usando una clave específica de la computadora", dijo ESET.
La variante Android de BirdCall, distribuida como parte del ataque de cadena de suministro de sqgame[.]net, incorpora un subconjunto de su contraparte de Windows, mientras recolecta listas de contactos, mensajes SMS, registros de llamadas, archivos multimedia, documentos, capturas de pantalla y audio ambiental. Un análisis del linaje del malware ha desenterrado siete versiones, la primera data de octubre de 2024.
A pesar de que BirdCall está construido sobre los cimientos de RokRAT y, por extensión, RambleOn, son fundamentalmente dos familias de malware dispares. "Ambos se disfrazan de aplicaciones Android legítimas y usan servicios de almacenamiento en la nube para la exfiltración de datos, pero son backdoors diferentes", señaló Jurčacko.
Curiosamente, se ha descubierto que el ataque de cadena de suministro solo envenena los APK de Android disponibles para descarga desde la plataforma, dejando intactos el cliente de escritorio Windows y los juegos de iOS. Las páginas de descarga de dos juegos Android alojados en sqgame[.]net han sido alteradas para servir los APK maliciosos:
- sqgame.com[.]cn/ybht.apk
- sqgame.com[.]cn/sqybhs.apk
Actualmente no se sabe cuándo fue violado el sitio web y comenzaron a distribuirse los APK envenenados. Sin embargo, se cree que el incidente ocurrió a finales de 2024. Además, han surgido pruebas de que un paquete de actualización del cliente de escritorio Windows entregó una DLL trojanizada desde al menos noviembre de 2024 y durante un período no especificado. El paquete de actualización ya no es malicioso.
Específicamente, la DLL modificada incluía un descargador que verifica la lista de procesos en ejecución en busca de herramientas de análisis y entornos de máquina virtual, antes de proceder a descargar y ejecutar shellcode que contiene RokRAT. Luego, el backdoor se utiliza para obtener e instalar BirdCall en los hosts infectados.
La versión Android de BirdCall también depende de servicios legítimos de almacenamiento en la nube para las comunicaciones C2. Esto incluye pCloud, Yandex Disk y Zoho WorkDrive, siendo este último cada vez más común en múltiples campañas.
"El backdoor Android ha tenido un desarrollo activo y proporciona capacidades de vigilancia, como la recopilación de datos personales y documentos, la toma de capturas de pantalla y la grabación de voz", dijo ESET.
