Una nueva campaña de malware de varias etapas está dirigida a usuarios de Minecraft con un malware basado en Java que emplea una proposición de distribución como servicio (DAAS) convocatoria Stargazers Ghost Network.
«Las campañas dieron como resultado una esclavitud de ataque de varias etapas dirigidas específicamente a los usuarios de Minecraft», dijeron los investigadores de Check Point Jaromír Hořejší y Antonis Terefos en un documentación compartido con Hacker News.
«El malware estaba hacerse tener lugar por Oringo y Taunahi, que son ‘Herramientas de scripts y macros’ (incluso conocidos como trucos). Tanto las etapas de la primera como la segunda se desarrollan en Java y solo se pueden ejecutar si el tiempo de ejecución de Minecraft se instala en la máquina host».
El objetivo final del ataque es engañar a los jugadores para que descarguen un mod Minecraft de GitHub y entregar un robador de información .NET con capacidades integrales de robo de datos. La campaña fue detectada por primera vez por la compañía de seguridad cibernética en marzo de 2025.
Lo que hace que la actividad sea extraordinario es su uso de una proposición ilícita convocatoria Stargazers Ghost Network, que hace uso de miles de cuentas de Github para configurar repositorios contaminados que se disfrazan de software y trucos de juegos agrietados.
Terefos le dijo a The Hacker News que marcaron «aproximadamente 500 repositorios de GitHub, incluidos los que están bifurcados o copiados,» agregando «Igualmente hemos manido 700 estrellas producidas por aproximadamente 70 cuentas».
Estos repositorios maliciosos, disfrazados de modificaciones de Minecraft, sirven como un conducto para infectar a los usuarios del popular videojuego con un cargador Java (por ejemplo, «oringo-1.8.9.Jar») que no se detectó por todos los motores antivirus a partir de la escritura.
Los archivos Java Archive (JAR) implementan técnicas simples anti-VM y anti-análisis para evitar los esfuerzos de detección. Su objetivo principal es descargar y ejecutar otro archivo JAR, un robador de segunda etapa que obtiene y ejecuta un robador de .NET como la carga útil final cuando la víctima inicia el bisagra.
El componente de la segunda etapa se recupera de una dirección IP («147.45.79.104») que se almacena en el pastebin de formato codificado Base64, esencialmente convierte la utensilio de pasta en un resolución de caída muerta.
«Para añadir modificaciones a un bisagra de Minecraft, el afortunado debe copiar el archivo de jares bellaco en la carpeta Minecraft Mods. Posteriormente de comenzar el bisagra, el proceso de Minecraft cargará todos los mods de la carpeta, incluido el Malvado Mod, que descargará y ejecutará la segunda etapa», dijeron los investigadores.
Por otra parte de descargar el robador .NET, el robador de la segunda etapa está equipado para robar tokens Discord y Minecraft, así como datos relacionados con el telegrama. El robador .NET, por otro costado, es capaz de cosechar credenciales de varios navegadores web y resumir archivos, e información de billeteras de criptomonedas y otras aplicaciones como Steam, y Filezilla.
Igualmente puede tomar capturas de pantalla y acumular información relacionada con los procesos en ejecución, la dirección IP externa del sistema y el contenido del portapapeles. La información capturada finalmente se agrupa y se transmite al atacante a través de un webhook de Discord.
Se sospecha que la campaña es el trabajo de un actor de amenaza de palabra rusa correcto a la presencia de varios artefactos escritos en el idioma ruso y la zona horaria de los compromisos del atacante (UTC+03: 00). Se estima que más de 1,500 dispositivos pueden poseer caído víctimas del esquema.
«Este caso destaca cómo las comunidades de bisagra populares pueden explotarse como vectores efectivos para la distribución de malware, enfatizando la importancia de la precaución al descargar contenido de terceros», dijeron los investigadores.
«La red Stargazers Ghost ha estado distribuyendo activamente este malware, dirigido a los jugadores de Minecraft que buscaban modificaciones para mejorar su bisagra. Lo que parecía ser descargas inofensivas fueron, de hecho, cargadores basados en Java que desplegaron dos robadores adicionales, capaces de exfiltrar credenciales y otros datos sensibles».
Nuevas variantes de Kimjongrat Stealer detectados
El explicación se produce cuando Palo Detención Networks Unit 42 detalló dos nuevas variantes de un robador de información con nombre en código Kimjongrat que probablemente esté conectado con el mismo actor de amenaza de Corea del Ideal detrás de Babyshark y Lapicero robado. Kimjongrat ha sido detectado en la naturaleza desde mayo de 2013, entregado como una carga útil secundaria en los ataques de Babyshark.
«Una de las nuevas variantes utiliza un archivo ejecutable portátil (PE) y el otro usa una implementación de PowerShell», dijo el investigador de seguridad Dominik Reichel. «Las variantes PE y PowerShell se inician haciendo clic en un archivo de entrada directo (LNK) de Windows que descarga un archivo de cercanías de una cuenta de entrega de contenido controlada por el atacante (CDN)».
Mientras que el cuentagotas de la cambio PE implementa un cargador, un PDF señuelo y un archivo de texto, el cuentagotas en la cambio PowerShell implementa un archivo PDF de señuelo pegado con un archivo ZIP. El cargador, a su vez, descarga cargas efectos auxiliares, incluido el componente de robador para Kimjongrat.
El archivo ZIP entregado por el cuentagotas de la cambio de PowerShell contiene scripts que incrustan los componentes de Stealer y Keylogger con sede en Kimjongrat PowerShell.
Ambas nuevas encarnaciones son capaces de resumir y transferir información de víctimas, archivos que coinciden con extensiones específicas y datos del navegador, como credenciales y detalles de extensiones de billetera de criptomonedas. La cambio PE de Kimjongrat incluso está diseñada para cosechar FTP y destinar información del cliente por correo electrónico.
«El explicación continuo y el despliegue de Kimjongrat, que presenta técnicas cambiantes, como usar un servidor CDN permitido para disfrazar su distribución, demuestra una amenaza clara y continua», dijo la Dispositivo 42. «Esta adaptabilidad no solo muestra la amenaza persistente que representa dicho malware, sino que incluso subraya el compromiso de sus desarrolladores de desempolvar y expandir sus capacidades».
