• El malware en Java evade soluciones de seguridad tradicionales y roba credenciales y datos personales de los jugadores.

 

Chile, 23 de junio de 2025 – Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ha descubierto una sofisticada campaña de robo de datos que afecta a la comunidad global de jugadores de Minecraft. La amenaza se distribuye a través de Stargazers Ghost Network, una plataforma de distribución como servicio (DaaS) que opera en GitHub, y consiste en un malware en múltiples fases que se hace pasar por herramientas de modificación de juego (scripts y macros, o cheats) como Oringo y Taunahi.

El ataque utiliza un cargador y un stealer desarrollados en Java, que requieren que Minecraft esté instalado en el dispositivo de la víctima, y una tercera fase en .NET con capacidades ampliadas. Debido a que la amenaza está escrita en Java —lenguaje a menudo pasado por alto por soluciones de seguridad tradicionales— ha logrado evadir la mayoría de los motores antivirus y análisis en sandbox. Check Point Research también ha identificado que el malware ha sido desarrollado por un actor de habla rusa, como demuestran múltiples artefactos en dicho idioma hallados en los archivos maliciosos.

Análisis técnico de la campaña Stargazers Ghost Network

Desde marzo de 2025Check Point Research ha monitorizado varios repositorios maliciosos en GitHub que ofrecían supuestos mods para Minecraft, en realidad diseñados para propagar malware. Entre los nombres identificados figuran: FunnyMap-0.7.5.jar, Oringo-1.8.9.jar, Polar-1.8.9.jar, SkyblockExtras-1.8.9.jar y Taunahi-V3.jar.

Estos archivos no eran detectados por motores antivirus en VirusTotal, debido a que los entornos sandbox carecen de las dependencias necesarias para su ejecución. Al ejecutarse como un mod en Minecraft, el cargador Javadescargaba una segunda fase maliciosa que a su vez desplegaba un stealer en .NET capaz de robar credenciales de Discord, Telegram, clientes de Minecraft, carteras de criptomonedas y navegadores.

Imagen 1. Detección de VirusTotal

El malware incluye técnicas anti-análisis y anti-virtualización, verificando el entorno de ejecución antes de activarse. También utiliza Pastebin para recuperar las URL de descarga de las siguientes fases, y envía la información robada a través de webhooks de Discord.

Modus operandi y cadena de infección

  1. El jugador descarga e instala un mod de Minecraft desde un repositorio GitHub controlado por los atacantes.
  2. Al iniciar el juego, el mod malicioso descarga un stealer en Java.
  3. Este stealer descarga y ejecuta un componente en .NET más sofisticado, que roba información sensible del dispositivo.
  4. Los datos son comprimidos y exfiltrados a un servidor remoto vía Discord.

Entre los datos robados se encuentran tokens y credenciales de Discord, Telegram y otras plataformas de juegoarchivos de configuración de lanzadores de Minecraft como Feather, Lunar y Essential; contraseñas almacenadas en navegadores como Chrome, Edge y Firefox; carteras de criptomonedasinformación sobre VPNs utilizadas; así como capturas de pantalla, procesos activos en el sistema y el contenido del portapapeles.

Esta investigación demuestra cómo una amenaza desarrollada en Java, en apariencia un simple mod para un juego popular, puede evadir controles de seguridad y ejecutar un ataque de robo de datos en múltiples fases. La comunidad de jugadores de Minecraft, que supera los 200 millones de usuarios activos mensuales, se ha convertido en un vector de ataque atractivo para cibercriminales. Esta campaña refuerza la importancia de la precaución al descargar mods de fuentes no verificadas.

“Recomendamos a la comunidad de jugadores y a las empresas que extremen las precauciones: descargando únicamente mods desde fuentes oficiales y verificadas, desconfiando de aquellos que soliciten permisos excesivos, manteniendo actualizadas sus soluciones de seguridad, e implementando políticas de control de aplicaciones en sus dispositivos y entornos corporativos”, señala Cristian Vásquez, Territory Manager de Check Point en Chile.

Check Point Threat Emulation y Harmony Endpoint ofrecen cobertura avanzada frente a este tipo de amenazas, detectando comportamientos sospechosos antes de su ejecución.

Acerca de Check Point Research

Check Point Research proporciona inteligencia sobre ciberamenazas a los clientes de Check Point Software y a la comunidad de inteligencia. El equipo de investigación recopila y analiza datos de ciberataques globales almacenados en ThreatCloud para mantener los ciberdelincuentes a raya, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas de seguridad y varios CERTs.

Acerca de Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. es un proveedor líder en soluciones de ciberseguridad en la nube basadas en IA que protege a más de 100.000 empresas a nivel mundial. Check Point Software aprovecha el poder de la IA en todos los ámbitos para mejorar la eficiencia y precisión de la ciberseguridad a través de su Plataforma Infinity, con tasas de detección líderes en la industria que permiten una anticipación proactiva a las amenazas y tiempos de respuesta más ágiles e inteligentes. La plataforma integral incluye soluciones cloud compuestas por Check Point Harmony para proteger el entorno laboral, Check Point CloudGuard para asegurar la cloud, Check Point Quantum para proteger la red y Check Point Infinity Core Services para operaciones y servicios de seguridad colaborativos.

©2025 Check Point Software Technologies Ltd. Todos los derechos reservados.

Aviso legal sobre declaraciones prospectivas

Este comunicado de prensa contiene declaraciones prospectivas. Las declaraciones prospectivas generalmente se refieren a eventos futuros o a nuestro desempeño financiero u operativo futuro. Las declaraciones prospectivas incluidas en este comunicado de prensa incluyen, pero no se limitan a, declaraciones relacionadas con nuestras expectativas respecto al crecimiento futuro, la expansión del liderazgo de Check Point Software en la industria, la mejora del valor para los accionistas y la entrega de una plataforma de ciberseguridad líder en la industria a clientes de todo el mundo. Nuestras expectativas y creencias sobre estos temas pueden no materializarse, y los resultados o eventos futuros están sujetos a riesgos e incertidumbres que podrían hacer que los resultados reales o los eventos difieran significativamente de los proyectados.

Las declaraciones prospectivas contenidas en este comunicado de prensa también están sujetas a otros riesgos e incertidumbres, incluyendo aquellos descritos con mayor detalle en nuestros archivos ante la Comisión de Bolsa y Valores (SEC), incluyendo nuestro Informe Anual en el Formulario 20-F presentado ante la SEC el 2 de abril de 2024. Las declaraciones prospectivas en este comunicado de prensa se basan en la información disponible para Check Point Software a la fecha de este documento, y Check Point Software renuncia a cualquier obligación de actualizar cualquier declaración prospectiva, salvo que lo exija la ley.

Síguenos en Google Noticias

Equipo Prensa
Portal Prensa Eventos

Ferias Expo Calendario 2025

Dejar respuesta

Please enter your comment!
Please enter your name here