La amenaza, detectada por Kaspersky, utiliza instaladores aparentemente leg\u00edtimos para descargar malware que roba informaci\u00f3n de los usuarios.<\/p>\n\n\n\n
El equipo de Threat Research de Kaspersky ha publicado un an\u00e1lisis t\u00e9cnico sobre RenEngine, un loader de malware que se distribuye a trav\u00e9s de juegos modificados y software pirateado. Detectado por primera vez en marzo de 2025, la amenaza ha afectado a usuarios en varias regiones, incluida Am\u00e9rica Latina, y ampl\u00eda el riesgo m\u00e1s all\u00e1 de la comunidad gaming hacia quienes buscan programas sin licencia.<\/p>\n\n\n\n
Kaspersky detect\u00f3 por primera vez muestras de RenEngine en marzo de 2025, momento desde el cual sus soluciones comenzaron a bloquear activamente esta amenaza. Aunque al principio se pens\u00f3 que el malware se distribu\u00eda principalmente a trav\u00e9s de juegos \u201ccrackeados\u201d, los analistas descubrieron que los ciberdelincuentes hab\u00edan creado decenas de sitios web para propagar este loader mediante distintos tipos de software pirateado, incluidos programas populares de dise\u00f1o gr\u00e1fico como CorelDRAW.<\/p>\n\n\n\n
Este hallazgo ampl\u00eda considerablemente la superficie de ataque<\/a>: el riesgo no afecta \u00fanicamente a jugadores, sino tambi\u00e9n a usuarios que descargan aplicaciones profesionales sin licencia. El patr\u00f3n de distribuci\u00f3n apunta a ciberataques oportunistas m\u00e1s que a campa\u00f1as dirigidas contra objetivos espec\u00edficos.<\/p>\n\n\n\n \u00bfC\u00f3mo funciona la infecci\u00f3n?<\/p>\n\n\n\n Cuando Kaspersky detect\u00f3 RenEngine, encontr\u00f3 que este programa malicioso se estaba usando para instalar Lumma Stealer, un tipo de malware dise\u00f1ado para robar informaci\u00f3n de la v\u00edctima. En campa\u00f1as m\u00e1s recientes, los investigadores vieron que ahora los atacantes lo est\u00e1n usando sobre todo para instalar ACR Stealer, aunque en algunos casos tambi\u00e9n han distribuido Vidar Stealer, que cumple una funci\u00f3n similar.<\/p>\n\n\n\n El enga\u00f1o comienza con versiones alteradas de juegos desarrollados con Ren\u2019Py, un motor de desarrollo muy utilizado para crear novelas visuales, es decir, juegos centrados en historias e im\u00e1genes. Cuando una persona descarga e instala uno de estos archivos infectados, en pantalla todo parece normal: aparece una ventana de carga que da la impresi\u00f3n de que el juego se est\u00e1 abriendo correctamente. Sin embargo, mientras el usuario cree que el programa est\u00e1 iniciando, en segundo plano se ejecutan instrucciones ocultas y maliciosas.<\/p>\n\n\n\n Esas instrucciones est\u00e1n preparadas para pasar desapercibidas ante herramientas de an\u00e1lisis y seguridad. Despu\u00e9s de activarse, descargan otras amenazas en el equipo mediante HijackLoader, una herramienta usada por ciberdelincuentes para introducir malware adicional sin levantar sospechas. En la pr\u00e1ctica, esto hace que la infecci\u00f3n no ocurra de una sola vez, sino en varias etapas: primero se abre el archivo infectado, luego se ejecuta el c\u00f3digo oculto y, finalmente, se descargan e instalan otros programas maliciosos en el dispositivo.<\/p>\n\n\n\n \u201cEsta amenaza demuestra c\u00f3mo los ciberdelincuentes ampl\u00edan sus t\u00e1cticas para llegar a m\u00e1s v\u00edctimas. Adem\u00e1s de utilizar juegos pirateados como vector de distribuci\u00f3n, tambi\u00e9n recurren a software de productividad crackeado, como herramientas de dise\u00f1o o edici\u00f3n, que muchas personas descargan sin considerar el riesgo. Esto aumenta significativamente la superficie de ataque y expone tanto a usuarios individuales como a empresas a posibles robos de informaci\u00f3n. Adem\u00e1s, cuando un motor de juego o un programa no verifica la integridad de sus recursos, los atacantes pueden modificar sus archivos e insertar c\u00f3digo malicioso que se ejecuta autom\u00e1ticamente en cuanto el usuario abre el programa, permitiendo que el malware se instale sin generar se\u00f1ales evidentes\u201d, afirma Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigaci\u00f3n y An\u00e1lisis para Am\u00e9rica Latina en Kaspersky.<\/p>\n\n\n\n Las soluciones de Kaspersky detectan RenEngine como Trojan.Python.Agent.nb y HEUR:Trojan.Python.Agent.gen, mientras que HijackLoader se identifica como Trojan.Win32.Penguish y Trojan.Win32.DllHijacker.<\/p>\n\n\n\n Para reducir el riesgo de infecci\u00f3n en este tipo de casos, los expertos de Kaspersky recomiendan:<\/p>\n\n\n\n -Descargar juegos y programas solo desde fuentes oficiales. El software pirateado o descargado de p\u00e1ginas no oficiales suele ser modificado para incluir malware que se instala junto con el programa.<\/p>\n\n\n\n -Verificar siempre la procedencia de los archivos antes de instalarlos. Si un juego o aplicaci\u00f3n normalmente es de pago y aparece gratis en un sitio desconocido, es una se\u00f1al de alerta de que podr\u00eda haber sido alterado para distribuir malware.<\/p>\n\n\n\n -Mantener el sistema operativo y las aplicaciones actualizados. Las actualizaciones corrigen fallas de seguridad que los atacantes suelen aprovechar para infectar dispositivos.<\/p>\n\n\n\n -Utilizar una soluci\u00f3n de seguridad confiable, como Kaspersky Premium.<\/a> Este tipo de herramientas -ayuda a detectar comportamientos sospechosos y bloquear amenazas incluso cuando el archivo malicioso intenta hacerse pasar por un programa leg\u00edtimo.<\/p>\n\n\n\n