Underc0de - La Casa de los Informáticos

El panorama de las amenazas persistentes avanzadas (APT) continúa evolucionando con campañas cada vez más sofisticadas. Un claro ejemplo de esta tendencia es la reciente operación atribuida al grupo de ciberespionaje ScarCruft, vinculado a intereses estatales de Corea del Norte. Esta campaña destaca por su enfoque estratégico: comprometer una plataforma de videojuegos para ejecutar un ataque de cadena de suministro dirigido principalmente a comunidades específicas de alto interés geopolítico.

Ataque de cadena de suministro: un vector silencioso y efectivo

Según un informe de ESET, ScarCruft logró infiltrarse en una plataforma de juegos conocida como cuadrado.net, utilizada principalmente por coreanos étnicos residentes en la región de Yanbian, en China. Esta ubicación no es casual: se trata de una zona fronteriza estratégica cercana a Corea del Norte y Rusia, conocida por ser un punto de tránsito clave para desertores norcoreanos.

El ataque, activo desde finales de 2024, consistió en la trojanización de componentes legítimos de la plataforma, tanto en sistemas Windows como Android. Esto permitió a los atacantes distribuir malware sin levantar sospechas, aprovechando la confianza de los usuarios en el software original.

BirdCall: la puerta trasera multiplataforma

El malware utilizado en esta campaña ha sido identificado como BirdCall, una evolución avanzada de la familia RokRAT. Inicialmente diseñada para sistemas Windows, esta nueva variante ha sido adaptada para operar también en dispositivos Android, lo que la convierte en una amenaza multiplataforma altamente versátil.

BirdCall incorpora funcionalidades típicas de puertas traseras avanzadas, incluyendo:

• Captura de pantallas
• Registro de pulsaciones (keylogging)
• Robo de datos del portapapeles
• Ejecución remota de comandos
• Recolección de información del sistema

En dispositivos Android, las capacidades se amplían aún más, permitiendo acceder a:

• Listas de contactos
• Mensajes SMS
• Registros de llamadas
• Archivos multimedia y documentos
• Grabaciones de audio ambiental

Estas funcionalidades convierten a BirdCall en una herramienta de vigilancia extremadamente potente, diseñada para la recopilación masiva de datos sensibles.

Evolución de RokRAT y expansión multiplataforma

BirdCall no surge de la nada. Es parte de una evolución continua del malware RokRAT, que ha sido utilizado por ScarCruft durante años. Este malware ha demostrado una notable capacidad de adaptación, con variantes como CloudMensis (macOS) y RambleOn (Android), lo que evidencia un desarrollo activo y sostenido.

Una característica distintiva de esta familia es su uso de servicios legítimos en la nube para comunicaciones de comando y control (C2), incluyendo plataformas como Dropbox y pCloud. Esta técnica permite ocultar el tráfico malicioso dentro de comunicaciones aparentemente legítimas, dificultando su detección por sistemas de seguridad tradicionales.

Cadena de infección: múltiples etapas y evasión avanzada

El despliegue de BirdCall sigue una cadena de carga multietapa altamente sofisticada. En sistemas Windows, el proceso comienza con scripts en Ruby o Python, que descargan componentes cifrados específicos para cada máquina. Posteriormente, se ejecuta una DLL trojanizada que actúa como descargador, verificando la presencia de herramientas de análisis o entornos virtualizados antes de continuar.

Si no se detectan mecanismos de defensa, el malware descarga shellcode que contiene RokRAT, el cual finalmente instala BirdCall en el sistema comprometido.

En el caso de Android, la infección se produce a través de APKs maliciosos distribuidos desde páginas legítimas comprometidas. ESET identificó que los archivos APK alojados en dominios como sqgame[.]com[.]cn fueron modificados para incluir el malware, afectando exclusivamente a versiones Android mientras que las versiones iOS permanecieron intactas.

Uso de servicios en la nube para C2

Una de las tácticas más sofisticadas empleadas por BirdCall es el uso de múltiples servicios en la nube para comunicaciones C2. Además de Dropbox y pCloud, la variante Android utiliza plataformas como Yandex Disk y Zoho WorkDrive.

El uso de estos servicios ofrece varias ventajas a los atacantes:

• Ocultamiento del tráfico malicioso
• Alta disponibilidad y redundancia
• Dificultad para bloquear sin afectar servicios legítimos

Esta estrategia refleja una tendencia creciente en el ciberespionaje moderno: camuflar operaciones maliciosas dentro de infraestructuras confiables.

Objetivos del ataque: vigilancia y control

El enfoque geográfico y demográfico de esta campaña sugiere objetivos claramente definidos. ScarCruft ha sido históricamente vinculado a operaciones dirigidas contra:

• Desertores norcoreanos
• Activistas de derechos humanos
• Académicos y profesores universitarios

La elección de una plataforma de videojuegos utilizada por coreanos étnicos en Yanbian refuerza la hipótesis de que el objetivo principal es la vigilancia y recopilación de inteligencia.

Implicaciones de seguridad: una amenaza persistente

Este ataque pone de manifiesto los riesgos asociados a la cadena de suministro de software. Incluso aplicaciones aparentemente inofensivas, como videojuegos, pueden convertirse en vectores de infección cuando sus componentes son comprometidos.

Entre las principales lecciones destacan:

• La necesidad de verificar la integridad de las actualizaciones de software
• La importancia de descargar aplicaciones solo desde fuentes confiables
• El riesgo de confiar ciegamente en plataformas legítimas
• Recomendaciones para mitigar el riesgo

Para reducir la exposición a este tipo de amenazas, se recomienda:

• Implementar soluciones de seguridad móvil (MTD)
• Utilizar herramientas de detección de comportamiento en endpoints
• Restringir la instalación de aplicaciones fuera de tiendas oficiales
• Monitorizar el tráfico hacia servicios en la nube
• Aplicar políticas de Zero Trust en entornos corporativos

En fin...

La campaña de ScarCruft con BirdCall representa un ejemplo claro de cómo los actores estatales están perfeccionando sus técnicas de ciberespionaje. Al comprometer una plataforma de videojuegos y convertirla en un vector de ataque, han demostrado que ningún entorno digital está exento de riesgo.

La combinación de ataques de cadena de suministro, malware multiplataforma y uso de servicios legítimos para ocultar comunicaciones marca un nuevo estándar en operaciones APT. Para las organizaciones y usuarios, la única defensa efectiva es una estrategia de seguridad integral, basada en la prevención, detección y respuesta continua.

Fuente: https://thehackernews.com/