McAfee Labs ha revelado la campaña Weedhack, una plataforma de «malware-as-a-service» (MaaS) dirigida a jugadores de Minecraft. Según los investigadores, los atacantes utilizan canales de YouTube y envenenamiento de resultados de búsqueda (SEO poisoning) para distribuir archivos JAR maliciosos, disfrazados de mods y clientes de Minecraft. La campaña, presumiblemente activa desde enero de 2026, afecta principalmente a usuarios de Estados Unidos, Alemania, India y el Reino Unido. Se han identificado 3820 archivos JAR maliciosos únicos y más de 240 URL de distribución. El nivel gratuito del servicio proporciona un infostealer completo, mientras que la suscripción premium desde $4,99 al mes ofrece capacidades de acceso remoto, incluido el control de la cámara web y keylogging.
Cadena técnica de infección de Weedhack
Según el estudio de McAfee Labs, el ataque comienza con la descarga del archivo JAR malicioso (DonutDupe.jar) desde sitios falsos promocionados mediante SEO poisoning y vídeos en dos canales de YouTube identificados. Los vídeos muestran mods y clientes de Minecraft, y en la descripción incluyen enlaces a recursos maliciosos.
El loader inicial DonutDupe.jar utiliza la técnica EtherHiding: extrae la dirección del servidor de mando y control (C2) a través de la blockchain de Ethereum, que actúa como un «dead drop resolver». Esto dificulta el bloqueo de la infraestructura con medios estándar, ya que los datos en la blockchain no pueden eliminarse ni modificarse.
A continuación, la cadena de infección se desarrolla por etapas:
- Elevator.jar: segunda fase, recopila información del sistema, configura exclusiones en Microsoft Defender y descarga dos componentes adicionales.
- SecurityManager.jar: establece la persistencia en el sistema y lo prepara para el despliegue del módulo final.
- Component.jar: componente final con funciones de acceso remoto.
El elemento central de la infraestructura es un panel de control en el dominio weedhack[.]to, alojado en internet abierto. Permite a los clientes visualizar las credenciales robadas, hacer seguimiento de los sistemas comprometidos y crear payloads personalizados para las versiones de Minecraft desde la 1.21.0 hasta la 1.21.11. Según se indica, el servicio también es capaz de inyectar código malicioso en mods legítimos de Minecraft.
Modelo de monetización y alcance de las capacidades
Weedhack ofrece un modelo de suscripción de dos niveles. El nivel gratuito ya incluye un conjunto de herramientas considerable:
- Robo de identificadores de sesión de Minecraft y datos de cuatro launchers
- Captura de capturas de pantalla del escritorio
- Extracción de contraseñas y cookies de 36 navegadores web
- Robo de datos de 56 wallets de criptomonedas basadas en navegador y 12 aplicaciones de escritorio de wallets
- Sustracción de credenciales de Discord, Steam y Telegram
La suscripción premium ($4,99/mes o $24,99 por licencia de por vida) añade: acceso a la webcam, keylogging, reverse shell, compartición de pantalla con control del teclado y el ratón, así como carga y descarga de archivos. Los operadores promocionan el servicio a través de un canal de Telegram con más de 850 miembros, donde también ofrecen soporte técnico a los clientes.
Contexto de amenazas: campañas paralelas
Weedhack no es la única campaña a gran escala identificada por los investigadores en este periodo. McAfee Labs informó en paralelo de la campaña CountLoader, un JavaScript loader distribuido a través de sitios con software pirata. Se estima que CountLoader ha comprometido alrededor de 86 000 máquinas únicas, de las cuales unas 9 000 infecciones se produjeron a través de unidades USB. El mayor número de infecciones se ha registrado en India, Indonesia y Estados Unidos. En los ataques más recientes, el payload final ha sido un crypto clipper que sustituye las direcciones de wallets en el portapapeles. McAfee logró interceptar la infraestructura de mando de CountLoader mediante el registro de un dominio C2 señuelo (sinkholing).
Por separado, Kaspersky describió una campaña de varios años que utiliza sitios de streaming pirata para distribuir un fork de SilentCryptoMiner. La infección se produce a través de una actualización falsa del reproductor de vídeo: el archivo ZIP contiene un ejecutable legítimo (HLS Installer.874.exe) y una DLL maliciosa que inicia una carga lateral (DLL side-loading). El malware desactiva los mecanismos de protección de Windows, solicita repetidamente la elevación de privilegios mediante UAC, despliega mineros XMRig para CPU y GPU, así como un agente RAT para control remoto. Presumiblemente, esta actividad es la continuación de la campaña documentada por NTT Security en abril de 2023.
Evaluación del impacto
Weedhack representa una amenaza específica por varios motivos. Su alojamiento en un sitio accesible públicamente (y no en la dark web), el nivel gratuito con un infostealer plenamente funcional y la existencia de materiales formativos reducen drásticamente la barrera de entrada para potenciales atacantes. La audiencia objetivo de Minecraft —principalmente adolescentes y jóvenes— agrava el riesgo: las víctimas están menos familiarizadas con las técnicas de ingeniería social y el robo de cuentas de juego crea una motivación adicional para los atacantes.
Desde el punto de vista geográfico, los usuarios más expuestos son los de Estados Unidos, Alemania, India, Reino Unido, Italia, Vietnam, Canadá y los países nórdicos. El uso de EtherHiding para almacenar direcciones C2 en la blockchain de Ethereum hace que la infraestructura sea resistente a los métodos tradicionales de bloqueo: el dominio puede bloquearse, pero los datos en la blockchain seguirán siendo accesibles.
Recomendaciones prácticas
- Descarga de mods solo desde fuentes oficiales: utilice plataformas de confianza (CurseForge, Modrinth) con verificación de autores. Cualquier archivo JAR descargado a través de enlaces en descripciones de vídeos de YouTube debe considerarse sospechoso.
- Supervisión de las exclusiones de Microsoft Defender: compruebe las exclusiones actuales con el comando
Get-MpPreference | Select-Object -ExpandProperty ExclusionPathen PowerShell. Entradas no autorizadas son un indicador de compromiso. - Bloqueo de IOC conocidos: añada el dominio weedhack[.]to a las listas negras de DNS y de los servidores proxy. Controle la actividad de red relacionada con accesos a contratos de Ethereum desde procesos no asociados al juego.
- Control de la ejecución de archivos JAR: configure políticas de AppLocker o WDAC para restringir la ejecución de archivos Java desde directorios de usuario (Downloads, Temp, AppData).
- Comprobación de dispositivos USB: en el contexto de la amenaza CountLoader, asegúrese de que las políticas de autoejecución de dispositivos extraíbles estén deshabilitadas (AutoRun/AutoPlay).
- Labor educativa: para organizaciones con audiencia joven (colegios, bibliotecas), lleve a cabo acciones de concienciación sobre los riesgos de descargar mods desde fuentes no verificadas.
Las tres campañas descritas —Weedhack, CountLoader y la distribución de SilentCryptoMiner a través de sitios pirata— comparten un vector común: el abuso de la confianza de los usuarios en el contenido gratuito. La acción prioritaria para los administradores es auditar las exclusiones de Defender y las políticas de ejecución de archivos JAR en las estaciones de trabajo, especialmente en entornos con usuarios jóvenes. Para los usuarios domésticos, la protección clave es descargar mods de Minecraft exclusivamente a través de plataformas oficiales y evitar por completo seguir enlaces en descripciones de vídeos de YouTube.
