Investigadores de Morphisec han descubierto una campaña de malware dirigida contra usuarios de Blender en la que se distribuye el infostealer StealC V2 mediante archivos .blend infectados cargados en marketplaces de modelos 3D como CGTrader. Esta táctica convierte a los assets 3D en un vector de ataque efectivo contra artistas, freelancers y estudios que integran recursos de terceros en sus proyectos de producción.
Malware en Blender: cómo se explotan los archivos .blend infectados
Blender es un potente software 3D de código abierto que permite incrustar y ejecutar scripts Python dentro de los archivos .blend. Estos scripts se utilizan para automatizar tareas, crear paneles personalizados, gestionar rigs complejos o integrar el editor en pipelines de render. La misma flexibilidad que hace tan atractivo a Blender está siendo utilizada como puerta de entrada para el malware.
El elemento crítico es la función Auto Run, que autoriza el ejecución automática de código Python al abrir un archivo .blend. En un uso legítimo, esta característica carga controles de animación, herramientas de rigging o paneles de productividad de forma inmediata. Sin embargo, cuando Auto Run está activado por conveniencia y sin controles, cualquier proyecto descargado se comporta, en la práctica, como un ejecutable potencialmente peligroso.
En la campaña analizada, los atacantes empaquetan código Python malicioso dentro del archivo .blend. Al abrir la escena, el script se ejecuta de forma transparente para el usuario, se comunica con una infraestructura alojada en Cloudflare Workers y descarga un primer “loader” intermedio. Este componente a su vez obtiene y ejecuta un script de PowerShell, que descarga dos archivos ZIP denominados ZalypaGyliveraV1 y BLENDERX desde servidores controlados por los atacantes.
El contenido de estos ZIP se descomprime en el directorio temporal %TEMP% del sistema operativo y se crean accesos directos LNK en la carpeta de inicio de Windows, lo que establece persistencia: el malware se ejecutará en cada arranque. En la fase final se despliegan dos cargas útiles: el infostealer StealC como payload principal y un segundo stealer escrito en Python, que actúa como canal redundante para el robo de información.
Infostealer StealC V2: robo masivo de datos y evolución de la amenaza
La campaña utiliza la versión más reciente de StealC V2, una familia de infostealers previamente documentada por empresas de seguridad como Zscaler. Este tipo de malware está diseñado para la exfiltración sistemática de información sensible desde equipos comprometidos, con un enfoque claro en monetización criminal y acceso a cuentas.
De acuerdo con el análisis técnico, StealC V2 incorpora módulos especializados para recolectar:
• credenciales y cookies de navegadores web;
• información de criptomonedero locales y extensiones de wallets en el navegador;
• contraseñas guardadas, tokens de sesión y datos de autocompletado;
• potencialmente, tokens de autenticación de aplicaciones de mensajería y otros clientes de escritorio.
Además, integra un mecanismo actualizado de bypass de UAC (User Account Control), que le permite ejecutar acciones con privilegios elevados reduciendo la interacción visible con el usuario. Esta combinación de arquitectura modular, capacidades agresivas de recolección de datos y técnicas de ocultación incrementa el riesgo tanto para usuarios domésticos como para entornos corporativos que utilizan Blender en producción.
Evasión de antivirus y baja detección en plataformas de análisis
Aunque StealC se conoce desde 2023, la frecuencia de sus actualizaciones y variantes complica seriamente su detección. Morphisec señala que la muestra analizada de StealC V2 no era detectada por ningún motor antivirus en VirusTotal en el momento del estudio, lo que indica un uso intensivo de ofuscación, carga dinámica de módulos y reducción de actividad sospechosa hasta la fase de robo efectivo de datos.
3D assets como vector de ataque: implicaciones para artistas y estudios
La particularidad de esta campaña reside en el uso de assets 3D como vector de infección. Marketplaces como CGTrader, que alojan millones de modelos, materiales y escenas, no disponen de mecanismos automáticos robustos para auditar todo el código Python incrustado en los archivos .blend antes de su publicación. Como resultado, incluso modelos aparentemente legítimos y de alta calidad pueden contener scripts maliciosos.
Desde un punto de vista de ciberseguridad, cualquier archivo complejo que permita ejecución de scripts embebidos —documentos con macros, proyectos creativos avanzados o escenas .blend— debe tratarse como código ejecutable no confiable. La seguridad de estos recursos depende tanto de la reputación del autor como de los controles que implemente el usuario o la organización antes de integrarlos en su flujo de trabajo.
Buenas prácticas de seguridad para usuarios de Blender y estudios 3D
1. Desactivar Auto Run por defecto. Mantener deshabilitada la ejecución automática de scripts en Blender y habilitarla solo para proyectos internos o proveedores verificadamente confiables reduce drásticamente la superficie de ataque.
2. Usar entornos aislados para assets de terceros. Abrir archivos .blend descargados de marketplaces en máquinas virtuales, contenedores o estaciones separadas, sin acceso a datos críticos ni a la red corporativa, limita el impacto de una posible infección.
3. Analizar la estructura de los proyectos. Ante cualquier sospecha, revisar la presencia de scripts integrados, addons inusuales o llamadas de red no esperadas. Cualquier intento del proyecto Blender de comunicarse con Internet sin un motivo claro debe considerarse un indicador de compromiso.
4. Restringir y monitorizar el uso de PowerShell. En entornos empresariales, aplicar políticas que controlen la ejecución de scripts PowerShell y desplegar soluciones EDR capaces de detectar actividad anómala vincula la seguridad del sistema con la visibilidad sobre las herramientas de administración.
5. Formar a equipos creativos en ciberseguridad. Artistas, animadores y técnicos deben comprender que los assets 3D pueden ser portadores de malware y gestionarlos con el mismo nivel de precaución que un archivo ejecutable desconocido.
El uso de StealC V2 a través de archivos .blend maliciosos confirma una tendencia clara: las herramientas creativas y de producción son ya un objetivo prioritario para los atacantes. Para mitigar este riesgo, resulta fundamental revisar la configuración de Blender, adaptar las políticas internas de uso de assets de terceros e incorporar entornos aislados en el ciclo de validación. Adoptar estas prácticas de forma proactiva no solo protege la infraestructura técnica, sino también el activo más valioso de estudios y profesionales 3D: su propiedad intelectual y la confianza de sus clientes.
