Una plataforma de juegos dirigida a la comunidad de Yanbian ha sido utilizada para distribuir malware en una campaña que afecta a Windows y Android, aunque en este momento los juegos maliciosos detectados parecen concentrarse en Android.
El caso no gira en torno a una app llamativa ni a una nueva función, sino a un problema de seguridad con impacto real: alguien que instale uno de estos juegos puede estar entregando acceso a buena parte de su vida digital. Investigadores de ESET sitúan el inicio probable del ataque a finales de 2024 y atribuyen la operación a ScarCruft, también conocido como APT37 o Reaper, un grupo descrito como actor patrocinado por el Estado de Corea del Norte. El objetivo serían norcoreanos que viven en China o pasan por ese país.
"En el ataque, probablemente en curso desde finales de 2024, ScarCruft comprometió componentes de Windows y Android de una plataforma de videojuegos dedicada a juegos temáticos de Yanbian, troyanizándolos con una puerta trasera" - ESET
Qué se ha comprometido y por qué importa
La plataforma afectada es SQgame, creada específicamente para la población de Yanbian, una prefectura autónoma de la provincia china de Jilin situada cerca de las fronteras con Corea del Norte y Rusia. No es un detalle menor. ESET señala que Yanbian es un punto clave de cruce para refugiados y desertores norcoreanos, de modo que una plataforma pensada para esa comunidad puede convertirse en un canal especialmente útil para vigilar a perfiles concretos.
El malware implantado se llama BirdCall y funciona como una puerta trasera. En la práctica, eso significa que no se limita a mostrar anuncios extraños o a ralentizar el dispositivo: abre la puerta a la extracción de información y al control remoto. En Windows puede capturar pantallas, registrar pulsaciones de teclado, robar el contenido del portapapeles, ejecutar comandos de shell y extraer datos. Además, la información robada se sube a servicios legítimos en la nube como Dropbox y pCloud, algo que puede dificultar que la actividad resulte sospechosa a simple vista.
En Android, el alcance también es amplio. BirdCall puede extraer listas de contactos, mensajes SMS, registros de llamadas, archivos multimedia, documentos, capturas de pantalla y audio ambiental. Dicho de forma sencilla: si alguien usa el móvil para hablar con familiares, guardar documentos, enviar mensajes o hacer fotos, buena parte de ese contenido podría quedar expuesto. No se trata solo del teléfono infectado, sino también de las personas con las que ese usuario se comunica.
Quién podría verse afectado y qué hacer
El informe sitúa como objetivo principal a norcoreanos que viven en China o pasan por allí, y el foco en SQgame refuerza esa idea porque la plataforma estaba dirigida a la población de Yanbian. Para el usuario común fuera de ese entorno, no hay base aquí para afirmar una afectación generalizada. Pero para quienes encajen en ese perfil, o utilicen esa plataforma, el riesgo es claro y concreto.
Hay otro detalle que conviene no pasar por alto: el malware fue actualizado siete veces. Eso llevó a los investigadores a concluir que sigue en mantenimiento activo. En otras palabras, no parece una campaña abandonada ni un incidente aislado. Además, ESET afirma que la plataforma sigue alojando juegos maliciosos. El cambio más relevante ahora mismo es que los juegos maliciosos detectados parecen limitarse actualmente a Android, lo que reduce el alcance observado respecto a la fase en la que también hubo componentes de Windows comprometidos, pero no elimina el problema.
La medida más sensata para quien use SQgame es dejar de instalar o ejecutar juegos de esa plataforma hasta que la situación quede resuelta. Si ya se ha instalado alguno, conviene tratar el dispositivo como potencialmente comprometido. En un móvil Android, eso implica asumir que contactos, SMS, llamadas, documentos o grabaciones podrían haber quedado expuestos. En ese escenario, también tiene sentido extremar la cautela con cualquier información sensible compartida desde ese teléfono.
Este caso recuerda algo incómodo pero importante: una app aparentemente menor, dirigida a una comunidad muy concreta, puede ser mucho más peligrosa que una aplicación masiva y conocida. Aquí no estamos ante otra tienda con juegos de nicho, sino ante un canal que, para ciertos usuarios, puede convertir una partida casual en una vía de vigilancia persistente.