Investigadores de ciberseguridad han revelado detalles de una nueva campaña que ha aprovechado los archivos de Blender Foundation para entregar un ladrón de información conocido como StealC V2.
«Esta operación en curso, activa durante al menos seis meses, implica la implantación de archivos .blend maliciosos en plataformas como CGTrader», dijo el investigador de Morphisec Shmuel Uzan en un informe compartido con The Hacker News.
«Los usuarios, sin saberlo, descargan estos archivos de modelos 3D, que están diseñados para ejecutar scripts de Python integrados al abrirlos en Blender, una suite de creación 3D gratuita y de código abierto».
La compañía de ciberseguridad dijo que la actividad comparte similitudes con una campaña anterior vinculada a actores de amenazas de habla rusa que involucraban hacerse pasar por la Electronic Frontier Foundation (EFF) para apuntar a la comunidad de juegos en línea e infectarla con StealC y Pyramid C2.
Esta evaluación se basa en similitudes tácticas en ambas campañas, incluido el uso de documentos señuelo, técnicas evasivas y ejecución de malware en segundo plano.
El último conjunto de ataques abusa de la capacidad de incrustar scripts de Python en archivos .blend como plataformas de caracteres que se ejecutan automáticamente cuando se abren en escenarios donde la opción Ejecución automática está habilitada. Este comportamiento puede ser peligroso ya que abre la puerta a la ejecución de scripts Python arbitrarios.
Blender ha reconocido el riesgo de seguridad en su propia documentación, que establece: «La capacidad de incluir scripts de Python dentro de archivos blend es valiosa para tareas avanzadas como rigging y automatización. Sin embargo, plantea un riesgo de seguridad ya que Python no restringe lo que un script puede hacer».
Las cadenas de ataque implican esencialmente cargar archivos .blend maliciosos en sitios de recursos 3D gratuitos, como CGTrader, que contienen un script malicioso «Rig_Ui.py», que se ejecuta tan pronto como se abren con la función de ejecución automática de Blender habilitada. Esto, a su vez, recupera un script de PowerShell para descargar dos archivos ZIP.
Mientras que uno de los archivos ZIP contiene una carga útil para StealC V2, el segundo archivo implementa un ladrón secundario basado en Python en el host comprometido. La versión actualizada de StealC, anunciada por primera vez a finales de abril de 2025, admite una amplia gama de funciones de recopilación de información, lo que permite extraer datos de 23 navegadores, 100 complementos y extensiones web, 15 aplicaciones de billetera de criptomonedas, servicios de mensajería, VPN y clientes de correo electrónico.
«Mantenga la ejecución automática desactivada a menos que se confíe en la fuente del archivo», dijo Morphisec. «Los atacantes explotan Blender, que normalmente se ejecuta en máquinas físicas con GPU, evitando entornos aislados y entornos virtuales».