Un grupo de hackers patrocinado por el Estado alineado con Corea del Norte, conocido como ScarCruft, comprometió plataformas de videojuegos con ataques de espionaje a la cadena de suministro y troyanizó sus componentes con una puerta trasera llamada BirdCallto, probablemente dirigida a coreanos étnicos que viven en China.
Si bien las versiones anteriores de la puerta trasera apuntaban principalmente solo a usuarios de Windows, al ataque a la cadena de suministro se le atribuye el mérito de permitir a los atacantes apuntar también a dispositivos Android, lo que la convierte en una amenaza multiplataforma por naturaleza.
Según ESET, la campaña nombró sqgame(.)net, una plataforma de juegos utilizada por personas de etnia coreana que viven en la región china de Yanbian, que limita con Corea del Norte y Rusia. También es conocido como un importante punto de tránsito de alto riesgo para los desertores norcoreanos que cruzan el río Tumen.
Se dice que el ataque a la plataforma es una estrategia deliberada dada la historia de ScarCruft de atacar a desertores norcoreanos, activistas de derechos humanos y profesores universitarios.
«En un ataque en curso, probablemente desde finales de 2024, ScarCruft comprometió y abrió una puerta trasera a los componentes de Windows y Android de una plataforma de videojuegos dedicada a juegos con temática de Yanbian», dijo la firma eslovaca de ciberseguridad en un informe compartido con The Hacker News antes de su publicación.
La versión para Windows de BirdCall, denominada evolución avanzada de RokRAT, se ha detectado en estado salvaje desde 2021. A lo largo de los años, RokRAT también se ha adaptado para apuntar a macOS (CloudMensis) y Android (RambleOn), lo que indica que los actores de amenazas siguen manteniendo activamente esta familia de malware.
BirdCall incluye características típicamente presentes en puertas traseras, lo que le permite capturar capturas de pantalla, registrar pulsaciones de teclas, robar contenidos del portapapeles, ejecutar comandos de shell y recopilar datos. Al igual que RokRAT, este malware se basa en servicios legítimos en la nube como Dropbox y pCloud para el comando y control (C2).
«BirdCall normalmente comienza con un script Ruby o Python y se implementa en una cadena de carga de múltiples etapas que incluye componentes cifrados usando una clave específica de la computadora», dijo ESET.
La versión de Android de BirdCall distribuida como parte del ataque a la cadena de suministro de sqgame(.)net incorpora un subconjunto de la versión de Windows para recopilar listas de contactos, mensajes SMS, registros de llamadas, archivos multimedia, documentos, capturas de pantalla y audio ambiental. El análisis del linaje del malware reveló siete versiones, la primera de las cuales data de octubre de 2024.
Curiosamente, se descubrió que el ataque a la cadena de suministro solo infectaba los APK de Android que se pueden descargar desde la plataforma, dejando ilesos a los clientes de escritorio de Windows y a los juegos de iOS. Las páginas de descarga de dos juegos de Android alojados en sqgame(.)net se han modificado para ofrecer APK maliciosos.
sqgame.com(.)cn/ybht.apk sqgame.com(.)cn/sqybhs.apk
Actualmente se desconoce cuándo se vio comprometido el sitio web y comenzó a distribuirse el APK comprometido. Sin embargo, se cree que este incidente ocurrió a finales de 2024. Además, ha surgido evidencia de que los paquetes de actualización del cliente de escritorio de Windows han estado entregando archivos DLL troyanizados durante un período de tiempo no especificado desde al menos noviembre de 2024. Los paquetes actualizados ya no son maliciosos.
Específicamente, la DLL modificada contenía una herramienta de análisis y un descargador que verificaba la lista de procesos en ejecución en el entorno de la máquina virtual antes de proceder a descargar y ejecutar el código shell que contiene RokRAT. Luego, BirdCall se recupera mediante una puerta trasera y se instala en el host infectado.
La versión Android de BirdCall también se basa en servicios legítimos de almacenamiento en la nube para la comunicación C2. Esto incluye pCloud, Yandex Disk y Zoho WorkDrive. El último tipo de campaña laboral se está volviendo cada vez más común en múltiples campañas.
«Las puertas traseras de Android están en desarrollo activo y ofrecen capacidades de vigilancia como la recopilación de datos y documentos personales, la toma de capturas de pantalla y la grabación de audio», dijo ESET.
Source link
