El grupo de hackers patrocinado por el Estado y alineado con Corea del Norte, conocido como ScarCruft ha comprometido una plataforma de videojuegos en un ataque de espionaje a la cadena de suministro, troyanizando sus componentes con una puerta trasera llamada Reclamoprobablemente apuntará a personas de etnia coreana que residen en China.

Si bien las versiones anteriores de la puerta trasera se han dirigido principalmente a usuarios de Windows, se considera que el ataque a la cadena de suministro permitió a los actores de la amenaza apuntar también a dispositivos Android, convirtiéndolo esencialmente en una amenaza multiplataforma.

Según ESET, la campaña ha destacado a sqgame[.]net, una plataforma de juegos utilizada por personas de etnia coreana que viven en la región de Yanbian en China, en la frontera con Corea del Norte y Rusia. También se sabe que actúa como punto de tránsito principal y de alto riesgo para los desertores norcoreanos que cruzan el río Tumen.

Se dice que atacar esta plataforma es una estrategia deliberada dada la historia de ScarCruft de atacar a desertores norcoreanos, activistas de derechos humanos y profesores universitarios.

«En el ataque, probablemente en curso desde finales de 2024, ScarCruft comprometió componentes de Windows y Android de una plataforma de videojuegos dedicada a juegos con temática de Yanbian, troyanizándolos con una puerta trasera», afirma la empresa eslovaca de ciberseguridad. dicho en un informe compartido con The Hacker News antes de su publicación.

Las versiones para Windows de BirdCall, denominadas una evolución avanzada de RokRAT, han sido detectado en la naturaleza desde 2021. A lo largo de los años, RokRAT también se ha adaptado para apuntar a macOS (CloudMensis) y Android (RambleOn), lo que indica que los actores de amenazas continúan manteniendo activamente la familia de malware.

BirdCall viene equipado con funciones que normalmente se encuentran en una puerta trasera, lo que permite la captura de capturas de pantalla, el registro de pulsaciones de teclas, el robo de contenido del portapapeles, la ejecución de comandos de shell y la recopilación de datos. Al igual que RokRAT, el malware se basa en servicios legítimos en la nube como Dropbox y pCloud para comando y control (C2).

«BirdCall generalmente se implementa en una cadena de carga de varias etapas, que comienza con un script Ruby o Python y contiene componentes cifrados usando una clave específica de la computadora», dijo ESET.

La variante de Android de BirdCall, distribuida como parte de sqgame[.]net Supply Chain Attack, incorpora un subconjunto de su contraparte de Windows, mientras recopila listas de contactos, mensajes SMS, registros de llamadas, archivos multimedia, documentos, capturas de pantalla y audio ambiental. Un análisis del linaje del malware ha descubierto siete versiones, la primera de las cuales se remonta a octubre de 2024.

Curiosamente, se ha descubierto que el ataque a la cadena de suministro solo envenena los APK de Android disponibles para descargar desde la plataforma, dejando intactos el cliente de escritorio de Windows y los juegos de iOS. Las páginas de descarga de dos juegos de Android alojados en sqgame[.]net se han modificado para servir los APK maliciosos –

• sqgame.com[.]cn/ybht.apk
• sqgame.com[.]cn/sqybhs.apk

Actualmente no se sabe cuándo se vulneró el sitio web y los APK envenenados comenzaron a distribuirse. Sin embargo, se cree que el incidente ocurrió a finales de 2024. Es más, ha surgido evidencia de que un paquete de actualización del cliente de escritorio de Windows entregó una DLL troyanizada desde al menos noviembre de 2024 y durante un período no especificado. El paquete de actualización ya no es malicioso.

Específicamente, la DLL modificada incluía un descargador que verifica la lista de procesos en ejecución para herramientas de análisis y entornos de máquinas virtuales, antes de proceder a descargar y ejecutar el código shell que contiene RokRAT. Luego, la puerta trasera se utiliza para buscar e instalar BirdCall en los hosts infectados.

La versión Android de BirdCall también se basa en servicios legítimos de almacenamiento en la nube para las comunicaciones C2. Esto incluye pCloud, Yandex Disk y Zoho WorkDrive, el último de los cuales se ha convertido en una presencia cada vez más común en múltiples campañas.

«La puerta trasera de Android ha experimentado un desarrollo activo y proporciona capacidades de vigilancia, como la recopilación de datos y documentos personales, la toma de capturas de pantalla y la realización de grabaciones de voz», dijo ESET.

Al actor de amenazas norcoreano conocido como ScarCruft se le ha atribuido un nuevo conjunto de herramientas, incluida una puerta trasera que utiliza Zoho WorkDrive para comunicaciones de comando y control (C2) para recuperar más cargas útiles y un implante que utiliza medios extraíbles para transmitir comandos y violar redes aisladas.

La campaña, cuyo nombre en clave Jersey rubí de Zscaler ThreatLabz, implica la implementación de familias de malware, como RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK, FOOTWINE y BLUELIGHT para facilitar la vigilancia en el sistema de la víctima. Fue descubierto por la empresa de ciberseguridad en diciembre de 2025.

«En la campaña Ruby Jumper, cuando una víctima abre un archivo LNK malicioso, lanza un comando de PowerShell y escanea el directorio actual para ubicarse según el tamaño del archivo», dijo el investigador de seguridad Seongsu Park. dicho. «Luego, el script de PowerShell iniciado por el archivo LNK crea múltiples cargas útiles incrustadas a partir de compensaciones fijas dentro de ese LNK, incluido un documento señuelo, una carga útil ejecutable, un script de PowerShell adicional y un archivo por lotes».

Uno de los documentos señuelo utilizados en la campaña muestra un artículo sobre el conflicto palestino-israelí traducido de un periódico norcoreano al árabe.

Las tres cargas útiles restantes se utilizan para pasar progresivamente el ataque a la siguiente etapa, con el script por lotes iniciando PowerShell, que, a su vez, es responsable de cargar el código shell que contiene la carga útil después de descifrarla. La carga útil ejecutable de Windows, denominada RESTLEAF, se genera en la memoria y utiliza Zoho WorkDrive para C2, lo que marca la primera vez que el actor de amenazas abusa del servicio de almacenamiento en la nube en sus campañas de ataque.

Una vez que se autentica exitosamente con la infraestructura de Zoho WorkDrive mediante un token de acceso válido, RESTLEAF descarga el código shell, que luego se ejecuta mediante inyección de proceso, lo que eventualmente conduce a la implementación de SNAKEDROPPER, que instala el tiempo de ejecución de Ruby, configura la persistencia usando una tarea programada y elimina THUMBSBD y VIRUSTASK.

THUMBSBD, que está disfrazado de archivo Ruby y utiliza medios extraíbles para transmitir comandos y transferir datos entre sistemas conectados a Internet y aislados. Es capaz de recopilar información del sistema, descargar una carga útil secundaria desde un servidor remoto, filtrar archivos y ejecutar comandos arbitrarios. Si se detecta la presencia de algún medio extraíble, el malware crea una carpeta oculta y la utiliza para preparar comandos emitidos por el operador o almacenar resultados de ejecución.

Una de las cargas útiles entregadas por THUMBSBD es FOOTWINE, una carga útil cifrada con un lanzador de código shell integrado que viene equipado con capacidades de registro de teclas y captura de audio y video para realizar vigilancia. Se comunica con un servidor C2 mediante un protocolo binario personalizado a través de TCP. El conjunto completo de comandos admitidos por el malware es el siguiente:

• smpara shell de comandos interactivo
• fmpara manipulación de archivos y directorios
• GMpara gestionar complementos y configuración
• habitaciónpara modificar el Registro de Windows
• p.mpara enumerar procesos en ejecución
• DMpara tomar capturas de pantalla y capturar pulsaciones de teclas
• centímetropara realizar vigilancia de audio y vídeo
• Dakota del Surpara recibir el contenido del script por lotes desde el servidor C2, guardarlo en el archivo %TEMP%\SSMMHH_DDMMYYYY.bat y ejecutarlo
• pxmpara configurar una conexión proxy y retransmitir el tráfico bidireccionalmente.
• [filepath]para cargar una DLL determinada

THUMBSBD también está diseñado para distribuir BLUELIGHT, una puerta trasera previamente atribuida a ScarCruft desde al menos 2021. El malware utiliza como arma a proveedores legítimos de la nube, incluidos Google Drive, Microsoft OneDrive, pCloud y BackBlaze, para que C2 ejecute comandos arbitrarios, enumere el sistema de archivos, descargue cargas útiles adicionales, cargue archivos y se elimine.

También entregado como un archivo Ruby, VIRUSTASK funciona de manera similar a THUMBSBD en el sentido de que actúa como un componente de propagación de medios extraíbles para propagar el malware a sistemas aislados no infectados. «A diferencia de THUMBSBD, que se encarga de la ejecución de comandos y la exfiltración, VIRUSTASK se centra exclusivamente en convertir en armas medios extraíbles para lograr acceso inicial a sistemas con espacios de aire», explicó Park.

«La campaña Ruby Jumper implica una cadena de infección de múltiples etapas que comienza con un archivo LNK malicioso y utiliza servicios de nube legítimos (como Zoho WorkDrive, Google Drive, Microsoft OneDrive, etc.) para implementar un entorno de ejecución Ruby novedoso y autónomo», dijo Park. «Lo más importante es que THUMBSBD y VIRUSTASK utilizan medios extraíbles como armas para evitar el aislamiento de la red e infectar sistemas aislados».