Una nueva campaña de malware de varias etapas está dirigida a usuarios de Minecraft con un malware basado en Java que emplea una oferta de distribución como servicio (DAAS) llamada Stargazers Ghost Network.
«Las campañas dieron como resultado una cadena de ataque de varias etapas dirigidas específicamente a los usuarios de Minecraft», dijeron los investigadores de Check Point Jaromír Hořejší y Antonis Terefos en un informe compartido con Hacker News.
«El malware estaba hacerse pasar por Oringo y Taunahi, que son ‘Herramientas de scripts y macros’ (también conocidos como trucos). Tanto las etapas de la primera como la segunda se desarrollan en Java y solo se pueden ejecutar si el tiempo de ejecución de Minecraft se instala en la máquina host».
El objetivo final del ataque es engañar a los jugadores para que descarguen un mod Minecraft de GitHub y entregar un robador de información .NET con capacidades integrales de robo de datos. La campaña fue detectada por primera vez por la compañía de seguridad cibernética en marzo de 2025.
Lo que hace que la actividad sea notable es su uso de una oferta ilícita llamada Stargazers Ghost Network, que hace uso de miles de cuentas de Github para configurar repositorios contaminados que se disfrazan de software y trucos de juegos agrietados.
Terefos le dijo a The Hacker News que marcaron «aproximadamente 500 repositorios de GitHub, incluidos los que están bifurcados o copiados,» agregando «También hemos visto 700 estrellas producidas por aproximadamente 70 cuentas».
Estos repositorios maliciosos, disfrazados de modificaciones de Minecraft, sirven como un conducto para infectar a los usuarios del popular videojuego con un cargador Java (por ejemplo, «oringo-1.8.9.Jar») que no se detectó por todos los motores antivirus a partir de la escritura.
Los archivos Java Archive (JAR) implementan técnicas simples anti-VM y anti-análisis para evitar los esfuerzos de detección. Su objetivo principal es descargar y ejecutar otro archivo JAR, un robador de segunda etapa que obtiene y ejecuta un robador de .NET como la carga útil final cuando la víctima inicia el juego.
El componente de la segunda etapa se recupera de una dirección IP («147.45.79.104») que se almacena en el pastebin de formato codificado Base64, esencialmente convierte la herramienta de pasta en un resolución de caída muerta.
«Para agregar modificaciones a un juego de Minecraft, el usuario debe copiar el archivo de jares malicioso en la carpeta Minecraft Mods. Después de comenzar el juego, el proceso de Minecraft cargará todos los mods de la carpeta, incluido el Malicioso Mod, que descargará y ejecutará la segunda etapa», dijeron los investigadores.
Además de descargar el robador .NET, el robador de la segunda etapa está equipado para robar tokens Discord y Minecraft, así como datos relacionados con el telegrama. El robador .NET, por otro lado, es capaz de recolectar credenciales de varios navegadores web y recopilar archivos, e información de billeteras de criptomonedas y otras aplicaciones como Steam, y Filezilla.
También puede tomar capturas de pantalla y acumular información relacionada con los procesos en ejecución, la dirección IP externa del sistema y el contenido del portapapeles. La información capturada finalmente se agrupa y se transmite al atacante a través de un webhook de Discord.
Se sospecha que la campaña es el trabajo de un actor de amenaza de habla rusa debido a la presencia de varios artefactos escritos en el idioma ruso y la zona horaria de los compromisos del atacante (UTC+03: 00). Se estima que más de 1,500 dispositivos pueden haber caído víctimas del esquema.
«Este caso destaca cómo las comunidades de juego populares pueden explotarse como vectores efectivos para la distribución de malware, enfatizando la importancia de la precaución al descargar contenido de terceros», dijeron los investigadores.
«La red Stargazers Ghost ha estado distribuyendo activamente este malware, dirigido a los jugadores de Minecraft que buscaban modificaciones para mejorar su juego. Lo que parecía ser descargas inofensivas fueron, de hecho, cargadores basados en Java que desplegaron dos robadores adicionales, capaces de exfiltrar credenciales y otros datos sensibles».
Nuevas variantes de Kimjongrat Stealer detectados
El desarrollo se produce cuando Palo Alto Networks Unit 42 detalló dos nuevas variantes de un robador de información con nombre en código Kimjongrat que probablemente esté conectado con el mismo actor de amenaza de Corea del Norte detrás de Babyshark y Lápiz robado. Kimjongrat ha sido detectado en la naturaleza desde mayo de 2013, entregado como una carga útil secundaria en los ataques de Babyshark.
«Una de las nuevas variantes utiliza un archivo ejecutable portátil (PE) y el otro usa una implementación de PowerShell», dijo el investigador de seguridad Dominik Reichel. «Las variantes PE y PowerShell se inician haciendo clic en un archivo de acceso directo (LNK) de Windows que descarga un archivo de gotera de una cuenta de entrega de contenido controlada por el atacante (CDN)».
Mientras que el gotero de la variante PE implementa un cargador, un PDF señuelo y un archivo de texto, el gotero en la variante PowerShell implementa un archivo PDF de señuelo junto con un archivo ZIP. El cargador, a su vez, descarga cargas útiles auxiliares, incluido el componente de robador para Kimjongrat.
El archivo ZIP entregado por el gotero de la variante de PowerShell contiene scripts que incrustan los componentes de Stealer y Keylogger con sede en Kimjongrat PowerShell.
Ambas nuevas encarnaciones son capaces de recopilar y transferir información de víctimas, archivos que coinciden con extensiones específicas y datos del navegador, como credenciales y detalles de extensiones de billetera de criptomonedas. La variante PE de Kimjongrat también está diseñada para cosechar FTP y enviar información del cliente por correo electrónico.
«El desarrollo continuo y el despliegue de Kimjongrat, que presenta técnicas cambiantes, como usar un servidor CDN legítimo para disfrazar su distribución, demuestra una amenaza clara y continua», dijo la Unidad 42. «Esta adaptabilidad no solo muestra la amenaza persistente que representa dicho malware, sino que también subraya el compromiso de sus desarrolladores de actualizar y expandir sus capacidades».