ScarCruft y BirdCall: cuando la plataforma de juegos se convierte en arma de espionaje
ScarCruft infiltra plataforma de juegos para distribuir el malware BirdCall en Windows y Android
El 5 de mayo de 2026, investigadores de ESET publicaron los hallazgos de una campaña de espionaje activa protagonizada por ScarCruft —también conocido como APT37 o Reaper—, un grupo de amenaza persistente avanzada (APT) alineado con Corea del Norte activo desde al menos 2012. El grupo comprometió sqgame[.]net, una plataforma de videojuegos orientada a coreanos étnicos de la región china de Yanbian, para distribuir el backdoor BirdCall tanto en sistemas Windows como en dispositivos Android, convirtiéndolo en una amenaza multiplataforma por primera vez.
El suceso: una plataforma de juegos como vector de infección
sqgame[.]net aloja juegos tradicionales de la región Yanbian —zona fronteriza entre China, Corea del Norte y Rusia— para Windows, Android e iOS. La plataforma es ampliamente utilizada por la comunidad coreana local, que también incluye refugiados y desertores norcoreanos que usan la región como punto de tránsito.
Según ESET, el compromiso habría comenzado hacia finales de 2024. Los atacantes modificaron dos elementos clave de la plataforma:
-
En Windows: un paquete de actualización del cliente de escritorio fue alterado para incluir una versión troyanizada de la librería
mono.dll. Al ejecutarse, el archivo realizaba verificaciones anti-análisis antes de descargar el backdoor RokRAT desde un sitio coreano comprometido; RokRAT, a su vez, instalaba el implante más sofisticado BirdCall. Tras la infección, la librería maliciosa se reemplazaba por una copia limpia para borrar evidencias. -
En Android: dos de los tres juegos disponibles para descarga —Yanbian Red Ten y New Drawing— fueron reempaquetados con código malicioso. Los operadores modificaron el archivo
AndroidManifest.xmlde las APKs legítimas para redirigir el punto de entrada a través del backdoor antes de lanzar la actividad original del juego, sin necesidad de acceder al código fuente.
El investigador de ESET Filip Jurčacko, quien descubrió el ataque, señaló que la campaña fue identificada en octubre de 2025 y que los juegos Android troyanizados aún se encontraban disponibles para descarga al momento de la publicación. ESET notificó a sqgame sobre el compromiso en diciembre de 2025, sin recibir respuesta.
El problema: la trampa del software en el que ya confías
Lo que hace especialmente peligrosa esta campaña es su naturaleza de ataque a la cadena de suministro (supply chain attack). En lugar de engañar a las víctimas para que descarguen software de sitios desconocidos, los atacantes infectaron la fuente oficial: la propia plataforma que los usuarios ya conocen, ya usan y ya confían.
Este vector de ataque subvierte los consejos de seguridad más básicos. Un usuario que descarga una actualización desde el sitio oficial de su aplicación favorita no tiene motivos inmediatos para sospechar. No hay correos de phishing, no hay dominios sospechosos, no hay advertencias visibles. La confianza preestablecida en la plataforma es precisamente el mecanismo que el atacante explota.
La peligrosidad de este modelo de ataque puede resumirse en tres puntos:
- Alcance masivo con bajo perfil: un solo punto de compromiso —el servidor del proveedor— infecta a todos los usuarios que actualicen o descarguen durante el período activo.
- Evasión de controles convencionales: las soluciones de seguridad que validan la autenticidad del origen de la descarga no distinguen entre una actualización limpia y una troyanizada proveniente del mismo servidor.
- Persistencia extendida: en este caso, la infraestructura maliciosa estuvo activa al menos desde noviembre de 2024, durante más de un año, antes de ser reportada públicamente.
Análisis: espionaje dirigido y control total del dispositivo
La selección de sqgame[.]net no es casual. La región de Yanbian concentra la mayor comunidad coreana étnica fuera de la península y es una ruta de tránsito de alto riesgo para desertores norcoreanos. El perfil de la campaña es consistente con operaciones históricas de ScarCruft, cuyo foco incluye el gobierno surcoreano, organizaciones militares, activistas de derechos humanos y personas vinculadas a los intereses del régimen norcoreano.
Capacidades de BirdCall
Una vez instalado, BirdCall otorga a los operadores acceso casi total al dispositivo comprometido. Sus capacidades documentadas incluyen:
| Plataforma | Capacidades del backdoor |
|---|---|
| Windows | Implante C++ de alta complejidad; acceso a archivos, documentos y claves privadas; ejecución de comandos remotos |
| Android | Recolección de contactos, registros de llamadas, SMS, archivos multimedia, documentos y capturas de pantalla; grabación de audio ambiental |
La variante Android —denominada internamente zhuagou— fue desarrollada activamente entre octubre de 2024 y junio de 2025, con al menos siete versiones identificadas. En Windows, el proceso de infección se inicia mediante una cadena multietapa que comienza con un script Ruby o Python, con componentes cifrados usando una clave específica del equipo comprometido, lo que dificulta el análisis forense fuera del entorno de la víctima.
Este tipo de campañas, orientadas a poblaciones específicas y geográficamente delimitadas, representa una evolución hacia el espionaje de precisión: menos ruidosas que los ataques masivos, pero potencialmente devastadoras para comunidades vulnerables como los desertores norcoreanos, cuya exposición puede tener consecuencias que van más allá de la pérdida de datos.
Recomendaciones de seguridad
Aunque el vector principal de esta campaña fue una plataforma comprometida en un nicho geográfico específico, las lecciones que deja son aplicables a cualquier usuario o equipo de seguridad.
Para usuarios individuales
- Descarga únicamente desde fuentes oficiales verificadas. En Android, da preferencia a Google Play y activa las advertencias para instalaciones de fuentes externas. Una APK descargada desde un sitio web, aunque sea el oficial del desarrollador, puede haber sido comprometida.
- Mantén el software actualizado, pero verifica la legitimidad de las actualizaciones. Desconfía de actualizaciones que no fueron precedidas por notificaciones dentro de la propia aplicación o cambios de versión visibles.
- Instala una solución de seguridad con detección de comportamiento. Los antivirus basados exclusivamente en firmas pueden no detectar variantes nuevas; las soluciones con análisis heurístico y de comportamiento ofrecen una capa adicional de protección.
- Revisa los permisos de las aplicaciones. Un juego que solicita acceso al micrófono, contactos o archivos del sistema debe levantar sospechas.
Para equipos de seguridad y organizaciones
- Implementa monitoreo de tráfico saliente inusual. ESET recomienda especialmente vigilar tráfico HTTPS inesperado hacia plataformas en la nube originado desde aplicaciones de juegos.
- Consulta los Indicadores de Compromiso (IoCs). ESET ha publicado la lista completa de IoCs en su repositorio de GitHub para facilitar la búsqueda de amenazas (threat hunting).
- Considera tecnología de decepción (deception technology). Los honeytokens y servicios decoy permiten detectar accesos anómalos por contacto, independientemente de la sofisticación del agente atacante.
- Establece políticas de validación para actualizaciones de software de terceros, especialmente en entornos corporativos donde el software de origen poco común puede no pasar por procesos de validación formales.
Recapitulando…
El caso de ScarCruft y BirdCall ilustra una realidad incómoda: la confianza que depositamos en el software que ya usamos puede convertirse en el eslabón más débil de nuestra seguridad. La cadena de suministro no es un riesgo abstracto reservado para grandes corporaciones; cualquier plataforma, por pequeña o especializada que sea, puede convertirse en un vector si sus operadores no cuentan con controles de integridad adecuados.
La respuesta al problema no es dejar de actualizar el software —ese camino conduce a vulnerabilidades aún mayores— sino desarrollar el hábito de verificar, mantener herramientas de seguridad activas y prestar atención a señales de comportamiento anómalo. En un panorama donde grupos de amenaza con recursos estatales apuntan incluso a comunidades muy específicas, la vigilancia no es paranoia: es higiene digital.
Fuentes consultadas:
- ESET WeLiveSecurity: “A rigged game: ScarCruft compromises gaming platform in a supply-chain attack” (5 mayo 2026)
- The Hacker News: “ScarCruft Hacks Gaming Platform to Deploy BirdCall Malware on Android and Windows” (5 mayo 2026)
- BleepingComputer: “ScarCruft hackers push BirdCall Android malware via game platform” (5 mayo 2026)
- Help Net Security: “North Korean hackers trojanize gaming platform to spy on ethnic Koreans in China” (5 mayo 2026)
- Infosecurity Magazine: “North Korean APT Targets Yanbian Gamers via Trojanized Platform” (5 mayo 2026)
- Cybersecurity News: “New ScarCruft Supply Chain Attack Hits Gaming Platform With Windows and Android Backdoors” (5 mayo 2026)
- GlobeNewswire – ESET: “North Korea-aligned APT group ScarCruft compromises gaming platform in supply-chain espionage attack, ESET Research finds” (5 mayo 2026)