El equipo de investigación de ESET, empresa especializada en detección de amenazas informáticas, descubrió una campaña de ciberespionaje que comprometió una plataforma de juegos para Windows y Android mediante la distribución de programas maliciosos capaces de tomar control remoto de los dispositivos y robar información. La operación fue atribuida al grupo APT ScarCruft, vinculado a Corea del Norte, y estuvo enfocada en la región de Yanbian, en China, donde reside una importante comunidad de origen coreano y que además sirve como punto de tránsito para desertores norcoreanos. El objetivo principal de la campaña era el espionaje digital. El malware tenía capacidad para recopilar documentos y datos personales, tomar capturas de pantalla y realizar grabaciones de audio de las víctimas. La investigación identificó un juego de cartas alterado, llamado “Yanbian Red Ten”, disponible originalmente para Windows, Android e iOS. La plataforma ofrecía juegos tradicionales populares en la región, permitiendo competir entre amigos y participar en torneos. Según ESET, la versión para Windows fue comprometida mediante una actualización maliciosa que instaló dos puertas traseras o backdoors en los sistemas afectados. En Android, los atacantes modificaron algunos juegos para incluir el malware BirdCall, diseñado para ejecutar tareas de espionaje avanzadas. Entre las capacidades detectadas en BirdCall figuran la captura de pantallas, registro de teclas, robo de credenciales, acceso al portapapeles, extracción de archivos y ejecución remota de comandos. Para comunicarse con los atacantes, el malware utilizaba servicios legítimos de almacenamiento en la nube como Dropbox y pCloud, además de páginas web comprometidas. La versión para Android también podía recopilar contactos, mensajes SMS, historial de llamadas, documentos, archivos multimedia y claves privadas. Además, tenía funciones para grabar audio ambiental y tomar capturas del dispositivo. ESET identificó siete versiones distintas del malware, desarrolladas entre octubre de 2024 y junio de 2025, lo que evidencia una evolución constante de la herramienta de espionaje. Los investigadores detectaron que dos juegos Android alojados en el portal oficial de la plataforma estaban infectados con BirdCall. De acuerdo con el análisis, las víctimas descargaban e instalaban voluntariamente los archivos APK desde el navegador de sus dispositivos. No se encontraron aplicaciones infectadas en Google Play ni en otras plataformas de distribución. “Encontramos evidencia de que las víctimas descargaron los juegos troyanizados directamente desde el sitio web comprometido. Estimamos que el ataque comenzó a finales de 2024”, explicó Filip Jurčacko, investigador de malware de ESET. ScarCruft, también conocido como APT37 o Reaper, opera desde al menos 2012 y ha sido vinculado previamente a campañas de ciberespionaje dirigidas principalmente contra Corea del Sur. El grupo suele enfocarse en instituciones gubernamentales, organismos militares y empresas de distintos sectores en Asia. Navegación de entradas La inteligencia artificial domina las tendencias tecnológicas de 2026
