El equipo de Threat Research de Kaspersky ha publicado un análisis técnico sobre RenEngine, un loader de malware que se distribuye a través de juegos modificados y software pirateado. Detectado por primera vez en marzo de 2025, la amenaza ha afectado a usuarios en varios países, incluido España, y amplía el riesgo más allá de la comunidad gaming hacia quienes buscan programas sin licencia.
Kaspersky identificó muestras de RenEngine ya en marzo de 2025, momento en el que sus soluciones comenzaron a bloquear esta amenaza de forma activa. Aunque inicialmente se vinculó su distribución a juegos “crackeados”, los analistas han descubierto que los ciberdelincuentes habían creado decenas de páginas web para propagar el loader también a través de software pirateado, incluidos editores gráficos como CorelDRAW.
Este hallazgo amplía considerablemente la superficie de ataque: el riesgo no afecta únicamente a jugadores, sino también a usuarios que descargan aplicaciones profesionales sin licencia. Kaspersky ha registrado incidentes en España, Rusia, Brasil, Turquía, y Alemania, entre otros países. El patrón de distribución apunta a ciberataques oportunistas más que a campañas dirigidas contra objetivos específicos.
Cómo funciona la infección
Cuando Kaspersky identificó RenEngine, el loader distribuía el malware Lumma Stealer. En campañas recientes, el payload final detectado es ACR Stealer, aunque también se ha observado Vidar Stealer en algunas cadenas de infección.
La campaña se basa en versiones modificadas de juegos desarrollados con el motor Ren’Py, utilizado habitualmente para novelas visuales. Al ejecutar el instalador infectado, el usuario ve una pantalla de carga aparentemente legítima mientras, en segundo plano, se ejecutan scripts maliciosos.
Estos scripts incluyen mecanismos para eludir sistemas de análisis y, tras activarse, descargan otras ciberamenazas mediante una herramienta especializada llamada HijackLoader, iniciando una infección en varias fases.
“Esta amenaza va más allá de los juegos pirateados. Los atacantes están utilizando la misma técnica para distribuir malware a través de software de productividad crackeado, lo que amplía significativamente el número potencial de víctimas. Si un motor de juego no verifica la integridad de sus recursos, los atacantes pueden insertar código malicioso que se ejecuta en cuanto el usuario inicia el programa”, afirma Pavel Sinenko, analista principal de malware en Kaspersky Threat Research.
Las soluciones de Kaspersky detectan RenEngine como Trojan.Python.Agent.nb y HEUR:Trojan.Python.Agent.gen, mientras que HijackLoader se identifica como Trojan.Win32.Penguish y Trojan.Win32.DllHijacker.
