La amenaza, detectada por Kaspersky, utiliza instaladores aparentemente legítimos para descargar malware que roba información de los usuarios.

El equipo de Threat Research de Kaspersky ha publicado un análisis técnico sobre RenEngine. Un loader de malware que se distribuye a través de juegos modificados y software pirateado.

Detectado por primera vez en marzo de 2025, la amenaza ha afectado a usuarios en varias regiones. Incluida América Latina. Y amplía el riesgo más allá de la comunidad gaming hacia quienes buscan programas sin licencia.

Kaspersky detectó por primera vez muestras de RenEngine en marzo de 2025. Momento desde el cual sus soluciones comenzaron a bloquear activamente esta amenaza.

Aunque al principio se pensó que el malware se distribuía principalmente a través de juegos “crackeados”. Los analistas descubrieron que los ciberdelincuentes habían creado decenas de sitios web. Para propagar este loader mediante distintos tipos de software pirateado. Incluidos programas populares de diseño gráfico como CorelDRAW.

Este hallazgo amplía considerablemente la superficie de ataque. El riesgo no afecta únicamente a jugadores. Sino también a usuarios que descargan aplicaciones profesionales sin licencia. El patrón de distribución apunta a ciberataques oportunistas más que a campañas dirigidas contra objetivos específicos.

¿Cómo funciona la infección?

Cuando Kaspersky detectó RenEngine. Encontró que este programa malicioso se estaba usando para instalar Lumma Stealer. Un tipo de malware diseñado para robar información de la víctima.

En campañas más recientes, los investigadores vieron que ahora los atacantes lo están usando sobre todo para instalar ACR Stealer. Aunque en algunos casos también han distribuido Vidar Stealer. Que cumple una función similar.

El engaño comienza con versiones alteradas de juegos desarrollados con Ren’Py. Un motor de desarrollo muy utilizado para crear novelas visuales. Es decir, juegos centrados en historias e imágenes.

Cuando una persona descarga e instala uno de estos archivos infectados, en pantalla todo parece normal. Aparece una ventana de carga que da la impresión de que el juego se está abriendo correctamente. Sin embargo, mientras el usuario cree que el programa está iniciando. En segundo plano se ejecutan instrucciones ocultas y maliciosas.

Esas instrucciones están preparadas para pasar desapercibidas ante herramientas de análisis y seguridad.

Después de activarse, descargan otras amenazas en el equipo mediante HijackLoader. Una herramienta usada por ciberdelincuentes para introducir malware adicional sin levantar sospechas.

En la práctica, esto hace que la infección no ocurra de una sola vez. Sino en varias etapas. Primero se abre el archivo infectado, luego se ejecuta el código oculto y, finalmente, se descargan e instalan otros programas maliciosos en el dispositivo.

“Esta amenaza demuestra cómo los ciberdelincuentes amplían sus tácticas para llegar a más víctimas. Además de utilizar juegos pirateados como vector de distribución. También recurren a software de productividad crackeado, como herramientas de diseño o edición. Que muchas personas descargan sin considerar el riesgo. Esto aumenta significativamente la superficie de ataque y expone tanto a usuarios individuales como a empresas a posibles robos de información. Además, cuando un motor de juego o un programa no verifica la integridad de sus recursos. Los atacantes pueden modificar sus archivos e insertar código malicioso que se ejecuta automáticamente en cuanto el usuario abre el programa. Permitiendo que el malware se instale sin generar señales evidentes”. Afirma Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky.

Las soluciones de Kaspersky detectan RenEngine como Trojan.Python.Agent.nb y HEUR:Trojan.Python.Agent.gen. Mientras que HijackLoader se identifica como Trojan.Win32.Penguish y Trojan.Win32.DllHijacker.

Para reducir el riesgo de infección en este tipo de casos, los expertos de Kaspersky recomiendan:

• Descargar juegos y programas solo desde fuentes oficiales. El software pirateado o descargado de páginas no oficiales suele ser modificado para incluir malware que se instala junto con el programa.

• Verificar siempre la procedencia de los archivos antes de instalarlos. Si un juego o aplicación normalmente es de pago y aparece gratis en un sitio desconocido, es una señal de alerta de que podría haber sido alterado para distribuir malware.

• Mantener el sistema operativo y las aplicaciones actualizados. Las actualizaciones corrigen fallas de seguridad que los atacantes suelen aprovechar para infectar dispositivos.

• Utilizar una solución de seguridad confiable, como Kaspersky Premium. Este tipo de herramientas ayuda a detectar comportamientos sospechosos y bloquear amenazas incluso cuando el archivo malicioso intenta hacerse pasar por un programa legítimo.

Para más información sobre cómo proteger la seguridad empresarial, visita nuestro blog.