Ein schwerwiegender Sicherheitsvorfall auf der beliebten Gaming-Plattform Steam verdeutlicht die wachsenden Bedrohungen für digitale Spieleplattformen. Cybersecurity-Experten haben einen raffinierten Malware-Angriff auf das Early-Access-Spiel Chemia dokumentiert, bei dem Angreifer die Vertrauensstellung der offiziellen Plattform ausnutzten, um schädliche Software zu verbreiten.
Anatomie eines gezielten Gaming-Cyberangriffs
Der Vorfall ereignete sich am 22. Juli 2025, als ein Cyberkrimineller mit dem Pseudonym EncryptHub das Indie-Spiel Chemia von Aether Forge Studios erfolgreich kompromittierte. Laut Untersuchungen des Sicherheitsunternehmens Prodaft verwendete der auch als LARVA-208 und Water Gamayun bekannte Angreifer eine mehrstufige Infiltrationsstrategie.
Die initiale Kompromittierung erfolgte durch die Einschleusung von HijackLoader-Malware in die Spieldateien. Diese als CVKRUTNP.exe getarnte Schadsoftware fungierte als Loader für die eigentliche Payload und etablierte eine persistente Präsenz im Zielsystem. Anschließend lud der Trojaner den Vidar-Infostealer über die Datei v9d9d.exe nach.
Zweiphasige Infektionsstrategie mit zeitlicher Verzögerung
Drei Stunden nach der ersten Infiltration erweiterte der Angreifer seine Angriffsfläche durch die Integration einer zusätzlichen DLL-Datei namens cclib.dll. Diese enthielt den Fickle Stealer, einen spezialisierten Infostealer, der PowerShell-basierte Skripte (worker.ps1) zur Kommunikation mit kompromittierten Command-and-Control-Servern nutzt.
Besonders bemerkenswert ist die Verwendung von Telegram-Kanälen zur Übertragung von C2-Server-Adressen. Diese Methodik erschwert die Erkennung und Neutralisierung der Angreiferinfrastruktur erheblich, da die Kommunikationskanäle in der legitimen Messaging-Plattform versteckt sind.
Umfassende Datenexfiltration im Stealth-Modus
Der Fickle Stealer demonstriert ausgeprägte Fähigkeiten zur Extraktion sensibler Informationen aus Webbrowsern der Opfer. Das Schadprogramm zielt auf folgende Datentypen ab:
• Anmeldedaten und gespeicherte Passwörter
• Autofill-Informationen und Formulardaten
• Session-Cookies und Authentifizierungstoken
• Kryptowährung-Wallet-Zugangsdaten
Die Malware operiert vollständig im Hintergrund und beeinträchtigt die Spielperformance nicht. Diese Charakteristik ermöglicht es Angreifern, über längere Zeiträume unentdeckt zu bleiben, während Nutzer ahnungslos ihre Gaming-Sessions fortsetzen.
Social Engineering durch Plattformvertrauen
Die Attacke nutzt geschickt etablierte Vertrauensbeziehungen zwischen Gamern und der Steam-Plattform aus. Wenn Nutzer auf „Playtest“ für kostenlose Spiele klicken, erwarten sie naturgemäß keine Malware-Distribution von einer vertrauenswürdigen Quelle. Diese Form der Trust-basierten Social Engineering erweist sich als besonders effektiv.
EncryptHub hat bereits früher ähnliche Taktiken eingesetzt. Eine umfangreiche Phishing-Kampagne des Cyberkriminellen führte zur Kompromittierung von über 600 Organisationen weltweit, was die Reichweite und Gefährlichkeit seiner Operationen unterstreicht.
Duale Identität eines Cyberkriminellen
Berichte von Outpost24 KrakenLabs enthüllen eine ungewöhnliche Facette von EncryptHub: Der Cyberkriminelle agiert parallel als legitimer Bug-Bounty-Hunter. Paradoxerweise meldete er kürzlich zwei Zero-Day-Vulnerabilities in Windows an Microsoft, was seine tiefgreifenden technischen Kenntnisse und die ambivalente Natur seiner Aktivitäten verdeutlicht.
Eskalierender Trend bei Gaming-Plattform-Kompromittierungen
Der Chemia-Vorfall markiert bereits den dritten dokumentierten Malware-Fall auf Steam in diesem Jahr. Zuvor wurden die infizierten Titel Sniper: Phantom’s Resolution und PirateFi von der Plattform entfernt. Diese Häufung zeigt eine besorgniserregende Entwicklung in der Bedrohungslandschaft für digitale Gaming-Ökosysteme.
Auffällig ist, dass alle kompromittierten Projekte im Early-Access-Status waren. Dies deutet auf eine gezielte Strategie der Angreifer hin, weniger rigoros überprüfte Titel als Angriffsvektoren zu nutzen.
Die Gaming-Industrie muss ihre Sicherheitsprotokolle dringend verstärken und mehrstufige Verifikationsprozesse implementieren. Nutzer sollten moderne Endpoint-Protection-Lösungen einsetzen, regelmäßige Sicherheitsupdates durchführen und auch bei vertrauenswürdigen Plattformen Vorsicht walten lassen. Nur durch proaktive Sicherheitsmaßnahmen auf allen Ebenen lassen sich künftige Kompromittierungen dieser Art verhindern.
