Los investigadores de ciberseguridad de Check Point han identificado una sofisticada operación criminal que ha comprometido a más de 1,500 jugadores de Minecraft a través de modificaciones falsas del juego. Esta campaña maliciosa utiliza técnicas avanzadas de ingeniería social y malware especializado para robar credenciales, criptomonedas y datos personales de usuarios en dispositivos Windows.
Dimensiones de la Amenaza Cibernética
El análisis forense revela la magnitud preocupante de esta operación criminal. Los atacantes han creado aproximadamente 500 repositorios falsos en GitHub, incluyendo copias fraudulentas de proyectos legítimos. Para aumentar la credibilidad de su contenido malicioso, utilizaron 70 cuentas falsas que generaron cerca de 700 «estrellas» artificiales en estos repositorios.
La plataforma Pastebin registró miles de visualizaciones de enlaces maliciosos, evidenciando el alcance significativo de la campaña. Los expertos estiman que esta operación representa una de las mayores amenazas dirigidas específicamente contra la comunidad gaming durante 2024.
Conexión con Stargazers Ghost Network
Esta campaña forma parte de las actividades de la Stargazers Ghost Network, una infraestructura criminal especializada en la distribución de malware a gran escala. Durante 2024, los investigadores han identificado más de 3,000 cuentas de GitHub asociadas con esta red, utilizadas para propagar diversos tipos de infostealer.
El grupo, también conocido como Stargazer Goblin, tiene un historial criminal extenso. Anteriormente fueron responsables de la distribución del malware GodLoader, que infectó más de 17,000 sistemas en apenas tres meses, demostrando su capacidad operativa y alcance global.
Metodología del Ataque y Vectores de Infección
Los ciberdelincuentes han desarrollado réplicas convincentes de modificaciones populares de Minecraft, incluyendo Skyblock Extras, Polar Client, FunnyMap, Oringo y Taunahi. La sofisticación técnica del malware Java utilizado presenta tasas de detección extremadamente bajas por parte de las soluciones antivirus convencionales.
El proceso de infección implementa una arquitectura de múltiples etapas. Inicialmente, el JAR loader utiliza una URL codificada en base64 para descargar componentes adicionales desde Pastebin. Posteriormente, se despliega un stealer Java especializado que extrae información específica del ecosistema gaming.
Objetivos Primarios del Stealer Java
• Credenciales de Minecraft: Tokens de sesión y datos del launcher oficial
• Launchers alternativos: Información de Feather, Lunar y Essential
• Plataformas de comunicación: Tokens de Discord y Telegram
• Exfiltración de datos: Transmisión mediante POST requests a servidores C&C
Implementación del Stealer 44 CALIBER
La segunda fase despliega 44 CALIBER, un stealer desarrollado en .NET Framework con capacidades significativamente más amplias. Este componente representa la verdadera amenaza de la operación, diseñado para extraer información financiera y personal crítica.
Las capacidades de 44 CALIBER incluyen extracción de datos de navegadores basados en Chromium, Edge y Firefox; archivos del escritorio y directorio de documentos; múltiples carteras de criptomonedas como Armory, AtomicWallet, BitcoinCore, Electrum y Exodus; configuraciones de VPN de ProtonVPN, OpenVPN y NordVPN.
Adicionalmente, el malware implementa funcionalidades de captura de pantalla, monitoreo del portapapeles y recopilación de información del sistema, proporcionando a los atacantes un perfil completo de sus víctimas.
Atribución Geográfica y Indicadores de Compromiso
El análisis de metadatos revela patrones consistentes con operadores de habla rusa. Los webhooks de Discord utilizados para la exfiltración contienen comentarios en idioma ruso, mientras que las marcas temporales de los commits indican actividad en la zona horaria UTC+3.
Esta información, combinada con las técnicas empleadas y la infraestructura utilizada, sugiere la participación de grupos cibercriminales del espacio post-soviético, conocidos por su sofisticación en operaciones de malware dirigido.
La protección efectiva contra estas amenazas requiere un enfoque multicapa que incluya verificación rigurosa de fuentes antes de descargar modificaciones, implementación de soluciones de seguridad actualizadas y educación continua sobre las tácticas de ingeniería social empleadas por los ciberdelincuentes. La comunidad gaming debe mantener especial vigilancia ante el creciente targeting de estos ecosistemas por parte de actores maliciosos profesionales.
