Los investigadores del equipo Global Research and Analysis Team (GReAT) de Kaspersky han identificado una nueva campaña de malware dirigida a usuarios de videojuegos para adultos o hentai games. La amenaza, denominada Argamal, es un troyano de acceso remoto (RAT) capaz de robar credenciales, extraer información sensible y otorgar a los atacantes el control completo del equipo infectado.
Según explica la compañía, la campaña fue detectada en abril durante las tareas habituales de monitorización y ya ha afectado a usuarios de países como Rusia, Brasil, Alemania, Vietnam y otros mercados.
El ataque comienza con la descarga de versiones modificadas de juegos distribuidas a través de páginas web no oficiales, servicios de intercambio de archivos y redes torrent. Los archivos incluyen tanto el juego legítimo como una biblioteca alterada que ejecuta el código malicioso de forma automática cuando el usuario inicia el videojuego, sin alterar su funcionamiento y dificultando así que la infección sea detectada.
Tras permanecer inactivo durante varios días, el malware descarga una segunda carga maliciosa que compromete por completo el sistema y permite a los atacantes acceder de forma remota al dispositivo. Los investigadores también han observado otros métodos de distribución. En algunos casos, el código malicioso se integra directamente en los archivos del juego, mientras que en otros se presenta como un supuesto cheat o modificación descargable desde foros especializados.
Desde Kaspersky recuerdan que el uso de videojuegos y software no oficial como gancho para distribuir malware es una práctica habitual entre los ciberdelincuentes. Según Dmitry Galov, responsable de la unidad de Rusia y la CEI del equipo GReAT, la campaña continúa evolucionando con nuevas funciones e infraestructuras, lo que indica que sigue activa. En su opinión, la disponibilidad de herramientas públicas y procesos automatizados también está acelerando el desarrollo de este tipo de amenazas.
Posibles pistas sobre su origen
El análisis técnico ha permitido identificar algunos indicios sobre los posibles autores de la campaña, aunque los investigadores advierten de que no son concluyentes.
Por un lado, parte del código contiene comentarios en español, lo que podría indicar que el desarrollador de la cadena de distribución es hispanohablante. Por otro, el malware evita infectar equipos cuya configuración regional corresponde a China, un comportamiento que podría estar relacionado con herramientas desarrolladas por actores de ese país. No obstante, Kaspersky considera poco probable que el autor principal sea de habla china.
