Investigadores de Howler Cell y la telemetría de «Laboratorio Kaspersky» han documentado una campaña masiva de malware en juegos pirata y programas crackeados, basada en un nuevo cargador denominado RenEngine. Este componente se integra en lanzadores de juegos desarrollados con el motor Ren’Py y despliega, como carga final, conocidos robadores de información (stealers) como Lumma, ACR Stealer y Vidar.
Malware en juegos pirata: vector de ataque mediante descargas ilegales
El escenario de infección se apoya en un hábito extendido: la búsqueda de juegos y software “gratuitos” en portales no oficiales. La víctima accede a un sitio de juegos, un repositorio pseudo-legal o una página que ofrece cracks y keygens, pulsa en “Descargar” y es redirigida a través de varias páginas hasta un archivo alojado en el servicio de intercambio Mega. El archivo ZIP o RAR se presenta como la copia pirata de un juego o de una aplicación de pago, por ejemplo un editor gráfico.
Tras descomprimir y ejecutar el supuesto juego, la víctima se encuentra con una pantalla de carga permanente al 100 %, que suele atribuir a un fallo o cuelgue. En realidad, en segundo plano se activa una cadena de ejecución maliciosa: scripts en Python simulan la interfaz del juego, esquivan mecanismos básicos de sandbox y al mismo tiempo descifran y despliegan el malware empaquetado en el archivo.
Cadena técnica de infección: de RenEngine a HijackLoader
Suplantación de software legítimo y técnica de DLL hijacking
Como siguiente etapa, RenEngine descomprime en un directorio temporal (habitualmente .temp) un archivo ZIP con cinco componentes. Entre ellos figura Ahnenblatt4.exe, una aplicación legítima de genealogía, varias DLL y una biblioteca modificada llamada cc32290mt.dll. Esta DLL adulterada ejecuta un DLL hijacking: al iniciarse Ahnenblatt4.exe, el sistema carga primero la versión maliciosa de la biblioteca, que toma el control y lanza el cargador modular HijackLoader.
HijackLoader, documentado por primera vez en 2023 por varias firmas de ciberseguridad, descifra shellcode almacenado en el archivo gayal.asp y aplica in-memory patching sobre la biblioteca de sistema dbghelp.dll. Esta técnica permite modificar funciones en memoria sin escribir el código malicioso de forma evidente en disco, lo que complica la detección por parte de antivirus tradicionales basados en firmas.
Carga por etapas y evasión mediante ejecución solo en memoria
El loader crea a continuación un proceso cmd.exe en modo suspendido, inyecta en él la versión modificada de dbghelp.dll y obtiene la siguiente fase desde el archivo hap.eml. En esta etapa se sobrescribe la sección de código de la biblioteca pla.dll, a la que se transfiere el control. Esta arquitectura en múltiples etapas segmenta la funcionalidad del malware y dificulta tanto el análisis forense como la creación de reglas de detección basadas en un único indicador.
Robo de credenciales con Lumma, ACR Stealer y Vidar
La carga útil final —los stealers Lumma, ACR Stealer y Vidar— se introduce en memoria utilizando la API de transacciones de Windows. El código malicioso se escribe en un archivo temporal por fragmentos y en orden alterado; después se mapea en el espacio de direcciones del proceso, se revierte la transacción y se elimina el archivo. Finalmente, el módulo se inyecta en un proceso explorer.exe hijo mediante memoria compartida, camuflándose como un proceso de sistema legítimo.
Estos stealers están especializados en la exfiltración de credenciales y datos sensibles: contraseñas y cookies de navegadores, datos de monederos de criptomonedas, tokens de sesión, autocompletado y otra información confidencial. Los datos robados se monetizan en foros clandestinos o se reutilizan para secuestro de cuentas y fraude financiero. La telemetría disponible sitúa la mayor concentración de detecciones en Rusia, Brasil, Turquía, España y Alemania, en una campaña de carácter masivo y no dirigido.
Por qué los archivos de juegos son un contenedor ideal para malware
Un elemento clave de esta campaña RenEngine es el aprovechamiento de que los formatos de archivos de juegos no están estandarizados y suelen ser propios de cada título o motor. Esto limita la existencia de herramientas genéricas de análisis automático e inspección profunda del contenido. Si el motor de juego —como Ren’Py— no implementa controles estrictos de integridad y autenticidad de scripts y recursos, un archivo modificado puede transformarse fácilmente en un contenedor para código malicioso oculto.
Los atacantes complementan este enfoque con una infraestructura de sitios espejo y páginas de un solo uso que se hacen pasar por fuentes de software crackeado. Al usuario le basta con pulsar en el botón de descarga de un “repack” para iniciar, sin saberlo, una cadena de redirecciones y ejecución de componentes maliciosos cuidadosamente empaquetados.
Medidas de protección frente a la campaña de malware RenEngine
Reducir la superficie de ataque en escenarios como este es viable si se aplican medidas básicas pero constantes. La más efectiva es el rechazo sistemático de juegos pirata y software crackeado, optando solo por tiendas oficiales y páginas de desarrolladores. A ello debe añadirse un antivirus o solución EDR actualizada, así como un sistema operativo con parches al día, que incorporan mejoras continuas de mitigación y telemetría.
Desde una perspectiva de hardening, es recomendable restringir la ejecución de binarios desde carpetas temporales y archivos recién descomprimidos, aplicar listas blancas de aplicaciones en entornos corporativos y monitorizar anomalías como pantallas de carga interminables, reinicios inesperados de procesos o instancias inusuales de cmd.exe y explorer.exe. El uso de gestores de contraseñas y la activación de autenticación multifactor reducen de forma significativa el impacto potencial de un robo de credenciales.
La campaña RenEngine ilustra que, en ciberseguridad, “lo gratis” suele salir caro. Mantenerse alejado de fuentes no oficiales, reforzar las políticas de seguridad y educar de forma continua a usuarios y empleados son pasos esenciales para minimizar la probabilidad de caer en cadenas de infección cada vez más sofisticadas como la que combina RenEngine e HijackLoader para distribuir stealers en juegos pirata.
