El grupo de hackers patrocinado por el Estado y alineado con Corea del Norte, conocido como ScarCruft ha comprometido una plataforma de videojuegos en un ataque de espionaje a la cadena de suministro, troyanizando sus componentes con una puerta trasera llamada Reclamoprobablemente apuntará a personas de etnia coreana que residen en China.
Si bien las versiones anteriores de la puerta trasera se han dirigido principalmente a usuarios de Windows, se considera que el ataque a la cadena de suministro permitió a los actores de la amenaza apuntar también a dispositivos Android, convirtiéndolo esencialmente en una amenaza multiplataforma.
Según ESET, la campaña ha destacado a sqgame[.]net, una plataforma de juegos utilizada por personas de etnia coreana que viven en la región de Yanbian en China, en la frontera con Corea del Norte y Rusia. También se sabe que actúa como punto de tránsito principal y de alto riesgo para los desertores norcoreanos que cruzan el río Tumen.
Se dice que apuntar a esta plataforma es una estrategia deliberada dada la estrategia de ScarCruft. historiado historia de apuntar Desertores norcoreanos, activistas de derechos humanos y profesores universitarios.
«En el ataque, probablemente en curso desde finales de 2024, ScarCruft comprometió componentes de Windows y Android de una plataforma de videojuegos dedicada a juegos con temática de Yanbian, troyanizándolos con una puerta trasera», afirma la empresa eslovaca de ciberseguridad. dicho en un informe compartido con The Hacker News antes de su publicación.
Las versiones para Windows de BirdCall, denominadas una evolución avanzada de RokRAT, han sido detectado en la naturaleza desde 2021. A lo largo de los años, RokRAT también ha sido adaptado para apuntar a macOS (CloudMensis) y Android (RambleOn), lo que indica que los actores de amenazas continúan manteniendo activamente la familia de malware.
BirdCall viene equipado con funciones que normalmente se encuentran en una puerta trasera, lo que permite la captura de capturas de pantalla, el registro de pulsaciones de teclas, el robo de contenido del portapapeles, la ejecución de comandos de shell y la recopilación de datos. Al igual que RokRAT, el malware se basa en servicios legítimos en la nube como Dropbox y pCloud para comando y control (C2).
«BirdCall generalmente se implementa en una cadena de carga de varias etapas, que comienza con un script Ruby o Python y contiene componentes cifrados usando una clave específica de la computadora», dijo ESET.
La variante de Android de BirdCall, distribuida como parte de sqgame[.]net Supply Chain Attack, incorpora un subconjunto de su contraparte de Windows, mientras recopila listas de contactos, mensajes SMS, registros de llamadas, archivos multimedia, documentos, capturas de pantalla y audio ambiental. Un análisis del linaje del malware ha descubierto siete versiones, la primera de las cuales se remonta a octubre de 2024.
Curiosamente, se ha descubierto que el ataque a la cadena de suministro solo envenena los APK de Android disponibles para descargar desde la plataforma, dejando intactos el cliente de escritorio de Windows y los juegos de iOS. Las páginas de descarga de dos juegos de Android alojados en sqgame[.]net se han modificado para servir los APK maliciosos –
- sqgame.com[.]cn/ybht.apk
- sqgame.com[.]cn/sqybhs.apk
Actualmente no se sabe cuándo se vulneró el sitio web y los APK envenenados comenzaron a distribuirse. Sin embargo, se cree que el incidente ocurrió a finales de 2024. Es más, ha surgido evidencia de que un paquete de actualización del cliente de escritorio de Windows entregó una DLL troyanizada desde al menos noviembre de 2024 y durante un período no especificado. El paquete de actualización ya no es malicioso.
Específicamente, la DLL modificada incluía un descargador que verifica la lista de procesos en ejecución para herramientas de análisis y entornos de máquinas virtuales, antes de proceder a descargar y ejecutar el código shell que contiene RokRAT. Luego, la puerta trasera se utiliza para buscar e instalar BirdCall en los hosts infectados.
La versión Android de BirdCall también se basa en servicios legítimos de almacenamiento en la nube para las comunicaciones C2. Esto incluye pCloud, Yandex Disk y Zoho WorkDrive, el último de los cuales se ha convertido en un presencia cada vez más común en múltiples campañas.
«La puerta trasera de Android ha experimentado un desarrollo activo y proporciona capacidades de vigilancia, como la recopilación de datos y documentos personales, la toma de capturas de pantalla y la realización de grabaciones de voz», dijo ESET.
Fuente