El grupo ScarCruft, vinculado con Corea del Norte, llevó a cabo un ataque supply-chain dirigido contra la plataforma de juegos sqgame[.]net, popular entre coreanos étnicos en la región china de Yanbian, sustituyendo componentes para Windows y Android por el backdoor de espionaje BirdCall; el incidente amplió la plataforma de espionaje anteriormente «de escritorio» a una multiplataforma (Windows y Android) y crea un riesgo directo para los desertores norcoreanos y las redes vinculadas a ellos, por lo que todos los usuarios de sqgame deberían eliminar de inmediato los juegos de Android instalados fuera de las tiendas oficiales y revisar sus sistemas en busca de signos de compromiso.
Detalles técnicos del ataque
Según la investigación publicada por ESET, ScarCruft, al menos desde finales de 2024, ha modificado de forma encubierta componentes legítimos de la plataforma de juegos sqgame[.]net, utilizada en Yanbian, una región china fronteriza con Corea del Norte y Rusia, conocida como una de las principales rutas de tránsito para quienes huyen de la RPDC. La elección del objetivo encaja bien con el enfoque tradicional de ScarCruft en desertores, defensores de derechos humanos y la comunidad académica.
Cadena de infección en Windows
Para los sistemas de escritorio se vio comprometida la cadena de actualización del cliente sqgame para Windows. ESET observó que, al menos desde noviembre de 2024, el paquete oficial de actualización distribuía una biblioteca DLL modificada que actuaba como cargador:
- ejecución de la DLL durante la actualización o el funcionamiento del cliente de escritorio;
- comprobación de la lista de procesos en ejecución en busca de herramientas de análisis y signos de máquina virtual;
- si no se detectan procesos «sospechosos», descarga y ejecución de shellcode que contiene la familia RokRAT;
- RokRAT se utilizaba como capa intermedia para descargar e instalar el backdoor más reciente BirdCall en el host comprometido.
De este modo, BirdCall se integra en el ecosistema ya existente de herramientas de ScarCruft, evolucionando a partir de RokRAT, conocido como spyware multiplataforma (variantes para Windows, macOS — CloudMensis, Android — RambleOn).
En el lado de Windows, BirdCall ofrece el conjunto de capacidades típico de un backdoor avanzado:
- captura de pantallas;
- intercepción de pulsaciones de teclas (keylogging);
- robo del contenido del portapapeles;
- ejecución de comandos de shell arbitrarios;
- recopilación de información del sistema y del usuario.
La infraestructura de mando y control (C2) para la versión de Windows de BirdCall y para RokRAT se basa en servicios en la nube legítimos, entre ellos Dropbox y pCloud, lo que se ajusta a la técnica de uso de servicios web públicos para gestión y exfiltración de datos descrita en MITRE ATT&CK T1567.002 (Exfiltration to Cloud Storage).
El despliegue de BirdCall en Windows se realiza a través de una cadena de varias etapas: la fase inicial es un script en Ruby o Python y, a continuación, una secuencia de componentes cifrados cuya clave está vinculada a un equipo concreto. Esto complica el análisis y la reutilización de artefactos en otros hosts.
Ataque supply-chain en Android
El elemento más destacado de la campaña es la llegada de BirdCall a los dispositivos móviles. ESET descubrió que:
- solo se sustituyeron los APK de Android disponibles para su descarga en sqgame[.]net;
- el cliente de escritorio para Windows en su forma actual y los juegos para iOS no contenían código malicioso en el momento del análisis;
- las páginas de descarga de dos juegos de Android se modificaron para distribuir archivos APK troyanizados.
La variante Android de BirdCall implementa un subconjunto de las capacidades del backdoor para Windows, pero con énfasis en la vigilancia total del propietario del dispositivo:
- recopilación de la lista de contactos;
- robo de mensajes SMS y registros de llamadas;
- exfiltración de archivos multimedia y documentos;
- creación de capturas de pantalla;
- grabación de sonido ambiente (ambient audio).
Para el C2 en Android se utilizan varios servicios en la nube — pCloud, Yandex Disk y Zoho WorkDrive — lo que incrementa la resiliencia de la campaña y dificulta la detección basada en un único proveedor de nube. El análisis de la evolución del backdoor para Android identificó siete versiones, la primera de las cuales data de octubre de 2024, lo que indica un desarrollo del instrumento activo y rápido.
Artefactos clave e IOC de alto nivel
- Dominio de la plataforma: sqgame[.]net (comprometido en el marco de la cadena de suministro; el dominio en sí mismo no tiene por qué seguir siendo malicioso en el momento de la lectura).
- Canales C2 (todos a través de servicios legítimos):
- Dropbox — variante Windows;
- pCloud — Windows y Android;
- Yandex Disk — Android;
- Zoho WorkDrive — Android.
En la descripción pública de la campaña no se facilitan direcciones IP ni valores hash exactos; la defensa debe basarse en análisis de comportamiento y de contexto.
Contexto de la amenaza: ScarCruft y evolución del conjunto de herramientas
ScarCruft es un grupo de espionaje rastreado desde hace tiempo, asociado con la RPDC y orientado a objetivos de habla coreana. El perfil del grupo coincide con la descripción G0067 en MITRE ATT&CK, donde se subraya su atención a los desertores de Corea del Norte y a las organizaciones relacionadas.
La campaña contra sqgame[.]net continúa lógicamente esta línea: la plataforma da servicio a la diáspora coreana en Yanbian y la región actúa como «cuello de botella» para muchas rutas de escape desde la RPDC. La compromisión de este tipo de servicio ofrece a ScarCruft la posibilidad de:
- identificar a los usuarios del grupo objetivo (incluidos posibles desertores y sus intermediarios);
- acceder a sus comunicaciones y a sus grafos sociales mediante el backdoor para Android;
- establecer una vigilancia a largo plazo, utilizando los clientes de escritorio para un control adicional.
Desde un punto de vista técnico, la campaña combina varias tácticas de MITRE ATT&CK:
- compromiso de la cadena de suministro de software — véase T1195 (Supply Chain Compromise);
- uso de servicios en la nube para C2 y exfiltración (T1567.002);
- evasión del análisis mediante la comprobación de herramientas de seguridad y máquinas virtuales en el host antes de cargar la carga útil principal.
La evolución de RokRAT a BirdCall, así como la existencia de ramas afines como CloudMensis (macOS) y RambleOn (Android), apuntan a un conjunto de herramientas maduro y desarrollado de forma centralizada, y no a una muestra aislada de malware. La adición de un componente supply-chain en un servicio de juegos popular a nivel local es un paso lógico hacia una entrega más fiable de estas herramientas en una región y un grupo lingüístico estrictamente definidos.
Evaluación del impacto
Están expuestos al mayor riesgo:
- los coreanos étnicos que viven en Yanbian y utilizan sqgame[.]net, especialmente quienes han instalado juegos de Android a partir de archivos APK;
