## Campaña de malware móvil de APT37 Coreanos étnicos que residen en la región de Yanbian, China, cerca de la frontera norcoreana, han sido el objetivo de una campaña de ciberespionaje. Investigadores de ciberseguridad de **ESET** han atribuido esta actividad a **APT37**, un grupo de hackers que se cree está afiliado al Ministerio de Seguridad Estatal de Corea del Norte.  El vector de ataque implicó una versión modificada de un conjunto de juegos de cartas de una empresa llamada **Sqgame**. Los juegos comprometidos contenían un backdoor, denominado **BirdCall**, que otorgaba a los atacantes un acceso extenso a los dispositivos de las víctimas. ## Backdoor BirdCall: Funcionalidad y Propagación El backdoor **BirdCall** permite a **APT37** realizar una serie de actividades maliciosas, que incluyen: * Tomar capturas de pantalla * Grabar llamadas * Robar datos personales (contactos, mensajes SMS, registros de llamadas, archivos multimedia, claves privadas) Los investigadores creían inicialmente que **BirdCall** solo apuntaba a dispositivos Windows, pero posteriormente se descubrió una versión para Android. **ESET** encontró siete versiones diferentes del backdoor para Android, lo que indica un esfuerzo de desarrollo sostenido. Las víctimas típicamente descargaban los juegos comprometidos directamente a través de un navegador web, eludiendo la tienda **Google Play**, según el investigador de **ESET** Filip Jurčacko. El archivo inicial descargado no era malicioso; el compromiso ocurrió a través de un paquete de actualización malicioso distribuido por la plataforma **Sqgame**. ## Historial y Objetivos de APT37 **APT37** ha estado activo desde 2012, centrándose principalmente en campañas de espionaje dirigidas a Corea del Sur y otros países asiáticos. Sus objetivos han incluido organizaciones gubernamentales y militares, así como desertores norcoreanos. La versión para Windows de **BirdCall** fue identificada previamente por el proveedor surcoreano de ciberseguridad **AhnLab** en 2021. **ESET** contactó a **Sqgame** en diciembre de 2025 pero no recibió respuesta. El paquete de actualización malicioso ya no se distribuye. El año pasado, los investigadores encontraron otra cepa de spyware Android desarrollada y utilizada por **APT37** incrustada en aplicaciones disponibles en la tienda **Google Play**. En 2024, **APT37** supuestamente apuntó a expertos académicos surcoreanos y a un medio de noticias centrado en Corea del Norte.