ESET descubre una campaña de ciberespionaje de Corea del Norte en China

El equipo de investigación de ESET ha dado a conocer una campaña de ciberespionaje que lleva activa desde finales de 2024 y ha sido desarrollada por el grupo de Amenaza Persistente Avanzada (APY) ScarCruft, asociado al régimen de Corea del Norte. Al parecer, la campaña tiene como objetivo la región china de Yanbian, en la que hay población coreana y también es “punto de paso para refugiados y desertores norcoreanos”.

Los atacantes han logrado comprometer componentes de Windows y Android de una plataforma de videojuegos que utiliza temas propios de Yanbian. En ambos sistemas instalaron la puerta trasera BirdCall, que en principio se desarrolló para Windows. La versión para Android es capaz de recopilar contactos, SMS, registros de llamadas, claves privadas y documentos, así como realizar capturas de pantalla y grabar el audio del entorno.

Teniendo en cuenta el origen del ataque y el límite geográfico tan específico, la compañía considera “probable que la campaña estuviera dirigida a recopilar información sobre personas consideradas de interés para el régimen norcoreano, muy probablemente refugiados o desertores”. El grupo ScarCruft, que opera desde 2012, ha realizado ataques tanto en Corea del Sur como en otros países de la región, en empresas vinculadas a intereses de Corea del Norte.

Filip Jurcacko, investigador de ESET que descubrió el último ataque de ScarCruft, explica que “las víctimas descargaron los juegos troyanizados a través de un navegador web desde una única página en sus dispositivos y probablemente los instalaron de forma intencionada. No identificamos otras ubicaciones de APK ni APK maliciosos en la tienda oficial Google Play. No pudimos determinar cuándo se comprometió por primera vez el sitio web ni cuándo comenzó el ataque a la cadena de suministro. Sin embargo, basándonos en nuestro análisis del malware desplegado, estimamos que ocurrió a finales de 2024”.