El equipo de Threat Research de Kaspersky publicó un análisis técnico sobre RenEngine, un loader —programa malicioso que sirve como puerta de entrada para instalar otras amenazas— que se distribuye a través de juegos modificados y software pirateado.
Detectado por primera vez en marzo de 2025, la amenaza ha afectado a usuarios en varias regiones, incluida América Latina.
Aunque inicialmente se identificó su propagación a través de juegos «crackeados», los analistas descubrieron que los ciberdelincuentes crearon decenas de sitios web para distribuir este loader mediante distintos tipos de software pirateado, incluidos programas populares de diseño gráfico como CorelDRAW.
Este hallazgo amplía considerablemente la superficie de ataque: el riesgo no afecta únicamente a jugadores, sino también a usuarios que descargan aplicaciones profesionales sin licencia.
El patrón de distribución apunta a ciberataques oportunistas más que a campañas dirigidas contra objetivos específicos.
Cómo funciona la infección
Cuando Kaspersky detectó RenEngine, encontró que el programa se utilizaba para instalar Lumma Stealer, un tipo de malware diseñado para robar información de la víctima.
En campañas más recientes, los atacantes lo emplean principalmente para instalar ACR Stealer, aunque en algunos casos también distribuyeron Vidar Stealer, que cumple una función similar.
El engaño comienza con versiones alteradas de juegos desarrollados con Ren’Py, un motor de desarrollo muy utilizado para crear novelas visuales —juegos centrados en historias e imágenes—.
Cuando una persona descarga e instala uno de estos archivos infectados, en pantalla todo parece normal: aparece una ventana de carga que da la impresión de que el juego se está abriendo correctamente.
Sin embargo, mientras el usuario cree que el programa está iniciando, en segundo plano se ejecutan instrucciones ocultas y maliciosas.
Esas instrucciones están preparadas para pasar desapercibidas ante herramientas de análisis y seguridad.
Después de activarse, descargan otras amenazas en el equipo mediante HijackLoader, una herramienta usada por ciberdelincuentes para introducir malware adicional sin levantar sospechas.
En la práctica, la infección no ocurre de una sola vez, sino en varias etapas: primero se abre el archivo infectado, luego se ejecuta el código oculto y, finalmente, se descargan e instalan otros programas maliciosos en el dispositivo.
La voz del experto
“Esta amenaza demuestra cómo los ciberdelincuentes amplían sus tácticas para llegar a más víctimas. Además de utilizar juegos pirateados como vector de distribución, también recurren a software de productividad crackeado, como herramientas de diseño o edición, que muchas personas descargan sin considerar el riesgo”, afirmó Leandro Cuozzo, analista de seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky.
“Cuando un motor de juego o un programa no verifica la integridad de sus recursos, los atacantes pueden modificar sus archivos e insertar código malicioso que se ejecuta automáticamente en cuanto el usuario abre el programa, permitiendo que el malware se instale sin generar señales evidentes”, agregó.
Las soluciones de Kaspersky detectan RenEngine como Trojan.Python.Agent.nb y HEUR:Trojan.Python.Agent.gen, mientras que HijackLoader se identifica como Trojan.Win32.Penguish y Trojan.Win32.DllHijacker.
Recomendaciones para reducir el riesgo
- Descargar juegos y programas solo desde fuentes oficiales. El software pirateado o descargado de páginas no oficiales suele ser modificado para incluir malware que se instala junto con el programa.
- Verificar siempre la procedencia de los archivos antes de instalarlos. Si un juego o aplicación normalmente es de pago y aparece gratis en un sitio desconocido, es una señal de alerta de que podría haber sido alterado para distribuir malware.
- Mantener el sistema operativo y las aplicaciones actualizados. Las actualizaciones corrigen fallas de seguridad que los atacantes suelen aprovechar para infectar dispositivos.
- Utilizar una solución de seguridad confiable. Este tipo de herramientas ayuda a detectar comportamientos sospechosos y bloquear amenazas incluso cuando el archivo malicioso intenta hacerse pasar por un programa legítimo.
