El virus Urelas tiene gustos muy limitados: solo le interesa el póquer y las capturas de pantalla ajenas.
¿Para qué hackear un banco si basta con espiar las cartas del rival?
Los programas maliciosos normalmente intentan robar contraseñas o dinero. Pero Urelas eligió una nicho mucho más estrecho: durante años vigila juegos de cartas. Y no cualquier juego, sino los clientes surcoreanos populares de póquer y badugi. Ya en 2012 Microsoft describió la variante Urelas.C como troyano, que rastreaba los procesos de los juegos de cartas, hacía capturas de pantalla y las enviaba a un servidor remoto junto con datos del sistema. Entonces en la lista de objetivos figuraban clientes como baduki.exe, poker7.exe y otros.
Pasados 14 años el esquema casi no ha cambiado. Una muestra de Urelas, detectada en abril de 2026, sigue buscando juegos de cartas en ejecución, hace capturas de ventanas y las envía a servidores de control. El programa vigila clientes de póquer, badugi y «high-low», recorta la parte necesaria de la ventana y empaqueta las imágenes en formato JPEG antes de enviarlas.
No es un hallazgo aislado. Desde mediados de marzo hasta finales de abril se registraron más de 3.000 muestras de Urelas con hashes únicos. Solo en abril hubo más de 2.300 de esos archivos. La actividad se concentra en torno a la infraestructura de los proveedores de Internet surcoreanos, incluyendo SK Broadband y DLIVE.
Urelas no intenta convertirse en una herramienta universal que robe datos. La lógica es más sencilla y ya conocida: localizar la ventana del juego, hacer una captura, enviarla. Para los juegos de cartas eso es suficiente. Toda la información de la partida está directamente en la pantalla: las cartas, las apuestas, el estado de la mesa y, a veces, datos de la cuenta.
El programa malicioso se ejecuta en varias etapas. Primero crea un archivo intermedio, luego el módulo ejecutable principal, así como un archivo de configuración oculto golfinfo.ini. En su interior se guarda un estado cifrado con direcciones de servidores de control y parámetros de servicio. Tras descifrarlo, el programa se conecta a varios nodos, entre ellos 121.88.5.183 y 218.54.30.235.
Un detalle interesante es que una de las direcciones (121.88.5.184) no aparece en la configuración y está codificada directamente en el código. Ese enfoque dificulta el análisis y no permite localizar toda la infraestructura.
La carga principal son las capturas de pantalla. El programa utiliza funciones estándar de Windows para capturar la imagen, luego recorta el área necesaria y comprime la imagen. Los datos obtenidos se envían en forma de registros especiales del protocolo, donde las imágenes ocupan el lugar central.
Además, Urelas carga una biblioteca auxiliar HGDraw.dll. En su interior hay código que captura la pantalla y que se puede controlar mediante comandos desde el servidor. En esencia, es un módulo separado que realiza la vigilancia. Al final, tenemos un ejemplo raro de programa malicioso que no pretende abarcarlo todo. Urelas resuelve una tarea, y la resuelve durante años sin cambios: vigila las mesas de cartas y transmite lo que ocurre al servidor. Según datos recientes, el esquema sigue funcionando.