El equipo de investigadores de ESET ha sacado a la luz un sofisticado ataque informático que logró vulnerar una popular plataforma de entretenimiento virtual para los sistemas operativos Windows y Android. Esta ofensiva cibernética se dedicó a distribuir troyanos de acceso remoto con el claro propósito de tomar el control total de los equipos a distancia y sustraer información confidencial de los usuarios afectados.
Esta calculada intrusión fue ejecutada por el peligroso sindicato de hackers bautizado como APT ScarCruft, una organización cibercriminal que opera bajo el alero de Corea del Norte. Su foco de ataque principal se centró en la zona de Yanbian en China, un territorio que alberga a una enorme comunidad de ascendencia coreana y que funciona como ruta de escape para refugiados.
El propósito central de esta maniobra es el ciberespionaje puro y duro, ostentando la capacidad de extraer documentos privados, capturar la pantalla y registrar el audio del entorno.
El troyano BirdCall: Cómo opera esta amenaza en Windows y Android
El título de cartas digital infectado, conocido originalmente como Yanbian Red Ten, fue rastreado por los expertos hasta su portal oficial de internet. Se trata de un servicio que brinda pasatiempos clásicos de dicha región asiática para ecosistemas móviles y de escritorio, donde los internautas compiten amistosamente o en torneos.
De acuerdo a los hallazgos de ESET, el programa para computador fue corrompido mediante un falso parche de actualización que instaló puertas traseras. Simultáneamente, las aplicaciones móviles disponibles en la web sufrieron modificaciones para integrar una variante del virus denominado BirdCall.
Este código malicioso cuenta con un arsenal de espionaje temible, abarcando desde el registro de todo lo que tecleas y copias, hasta el hurto de contraseñas y la ejecución de órdenes a nivel de sistema. Para comunicarse con sus creadores, los atacantes se camuflan utilizando servidores legítimos de almacenamiento como Dropbox o pCloud.
Por su parte, la edición diseñada para tu teléfono recolecta silenciosamente tu agenda de contactos, mensajes SMS, historial de llamadas, fotografías y claves privadas. Las pericias demostraron que este software maligno fue pulido durante varios meses, detectándose al menos siete iteraciones distintas entre finales de 2024 y mediados de 2025.
La distribución del malware y el peligroso historial del grupo APT37
Los análisis confirmaron que al menos dos de los títulos alojados en la página web sqgame escondían este peligroso rastreador. Filip Jurčacko, experto en análisis de malware de ESET, señaló que hallaron pruebas concretas de que las propias víctimas descargaron estos archivos infectados a través del navegador de sus dispositivos, procediendo con la instalación de manera totalmente voluntaria. Afortunadamente, no se detectaron rastros de estos paquetes APK contaminados dentro de la tienda oficial Google Play, restringiendo el daño únicamente a quienes descargaron desde fuentes externas.
Aunque no se tiene la fecha exacta del asalto al servidor principal, la estructura del virus sugiere que la infiltración ocurrió a fines del año pasado. Cabe destacar que la agrupación ScarCruft, también identificada en el bajo mundo como Reaper o APT37, mantiene un extenso prontuario delictivo desde 2012.
Especializados en el robo de datos estatales, suelen enfocar su artillería digital contra Corea del Sur y diversas naciones asiáticas, apuntando sin piedad hacia entidades gubernamentales, complejos militares, corporaciones estratégicas y disidentes políticos que escapan del régimen norcoreano.
¿Cómo puedes proteger tu teléfono de aplicaciones maliciosas fuera de Google Play?
Para conservar la integridad de tu teléfono frente a amenazas cibernéticas severas como el troyano BirdCall, la regla de oro es evitar rotundamente la descarga e instalación de archivos APK provenientes de sitios web de terceros, foros o enlaces recibidos por aplicaciones de mensajería.
Es fundamental mantener desactivada la opción de «Instalar aplicaciones de orígenes desconocidos» en los ajustes de seguridad de tu sistema operativo Android, garantizando que todo tu software provenga exclusivamente de la tienda oficial Google Play.
Sumado a esto, es altamente recomendable instalar una solución antivirus de prestigio en tu dispositivo y mantener el ecosistema siempre actualizado, ya que los parches de seguridad mensuales que liberan los fabricantes cierran las brechas que los piratas informáticos aprovechan para infiltrar este tipo de código espía en tu vida digital.
¿Qué te parece este malware que afecta a Windows y Android?
