Un incidente de ciberseguridad de alta gravedad ha sacudido la plataforma Steam cuando investigadores detectaron la infiltración de malware sofisticado en el juego de acceso temprano Chemia. El ciberdelincuente conocido como EncryptHub logró comprometer exitosamente la confianza de los usuarios al distribuir infostealers a través de la tienda oficial de videojuegos más popular del mundo.
Análisis Técnico del Compromiso de Chemia
Según el informe detallado de la empresa de ciberseguridad Prodaft, el ataque contra Chemia de Aether Forge Studios se ejecutó el 22 de julio de 2025. El atacante, también identificado bajo los alias LARVA-208 y Water Gamayun, implementó una estrategia de infección multicapa altamente sofisticada.
La primera fase del ataque involucró la inyección del malware HijackLoader (archivo CVKRUTNP.exe) directamente en los archivos del juego. Este trojan actúa como un cargador inicial que establece persistencia en el sistema comprometido y facilita la descarga del infostealer Vidar mediante el ejecutable v9d9d.exe.
Metodología de Infección Dual
Tres horas después de la infiltración inicial, EncryptHub desplegó un segundo vector de ataque añadiendo el archivo DLL cclib.dll al juego. Este componente contiene el infostealer Fickle Stealer, que utiliza un script de PowerShell denominado worker.ps1 para obtener su carga útil principal desde el dominio comprometido soft-gets[.]com.
Una característica particularmente preocupante de esta operación es que el malware obtiene las direcciones de sus servidores de comando y control a través de canales de Telegram, una táctica que complica significativamente los esfuerzos de detección y mitigación por parte de los equipos de seguridad.
Capacidades de Extracción de Datos del Malware
El infostealer Fickle Stealer está diseñado para extraer un amplio espectro de información sensible de los navegadores web de las víctimas, incluyendo:
• Credenciales de acceso y contraseñas almacenadas
• Datos de autocompletado de formularios
• Cookies de sesión y tokens de autenticación
• Información de billeteras de criptomonedas
La amenaza se amplifica por el hecho de que el malware opera de manera sigilosa en segundo plano, sin impactar el rendimiento del juego. Esta característica permite que los usuarios continúen jugando normalmente mientras sus sistemas están siendo comprometidos sin su conocimiento.
Explotación de la Confianza en Plataformas Oficiales
Los expertos de Prodaft destacan que este ataque explota principios de ingeniería social basados en la confianza implícita que los usuarios depositan en Steam como plataforma oficial. Cuando los jugadores hacen clic en «Playtest» para probar un juego gratuito, no anticipan descargar malware desde una fuente aparentemente legítima.
Este no es el primer incidente atribuido a EncryptHub. El año anterior, este mismo ciberdelincuente orquestó una campaña de phishing masiva que resultó en la compromisión de más de 600 organizaciones globalmente, demostrando su capacidad operativa y alcance.
Perfil del Ciberdelincuente EncryptHub
Según investigaciones de Outpost24 KrakenLabs, EncryptHub representa un caso atípico en el panorama de ciberseguridad. Este individuo mantiene una dualidad profesional, combinando actividades criminales con trabajo legítimo en seguridad informática, funcionando simultáneamente como hacker malicioso y cazador de vulnerabilidades.
Paradójicamente, EncryptHub reportó recientemente dos vulnerabilidades de día cero en Windows a Microsoft de manera responsable, evidenciando su profundo conocimiento técnico y la naturaleza ambivalente de sus actividades.
Tendencias Emergentes en Seguridad Gaming
El incidente de Chemia marca el tercer caso confirmado de malware detectado en Steam durante el año actual. Previamente, las plataformas eliminaron los juegos infectados Sniper: Phantom’s Resolution y PirateFi, señalando una tendencia creciente de amenazas dirigidas al ecosistema de distribución digital de videojuegos.
Es significativo que todos los proyectos comprometidos se encontraban en fase de acceso temprano, sugiriendo que los atacantes están targeting deliberadamente títulos con menores controles de seguridad y procesos de verificación menos rigurosos.
Este incidente subraya la necesidad crítica de implementar defensas multicapa tanto para desarrolladores como para usuarios finales. Se recomienda encarecidamente el uso de soluciones antimalware actualizadas, mantener sistemas de seguridad al día y ejercer precaución incluso al descargar contenido desde plataformas oficiales. La industria del gaming debe reforzar sus procedimientos de verificación y monitoreo continuo para prevenir futuros compromisos de seguridad.
