Kaspersky descubre Argamal: el nuevo malware oculto en juegos para adultos

El Equipo Global de Investigación y Análisis de Kaspersky (GReAT) identificó una nueva campaña maliciosa de alcance global con un impacto directo en América Latina. La amenaza informática, denominada Argamal, se distribuye camuflada dentro de versiones modificadas de videojuegos dirigidos al público adulto, comúnmente clasificados como “juegos hentai”. Este software malicioso infecta los equipos de las víctimas mediante un mecanismo de activación retardada diseñado para evadir los controles habituales de seguridad.

Tras permanecer inactivo en el sistema operativo durante varios días, el implante inicial se conecta a servidores externos para descargar y ejecutar un troyano complementario. Este segundo componente se especializa en la exfiltración de credenciales de acceso, el robo de datos confidenciales y el establecimiento de un canal de control remoto total sobre el dispositivo afectado.

Canales de distribución y alcance geográfico

Los vectores de propagación analizados por los especialistas en ciberseguridad demuestran que los atacantes aprovechan plataformas legítimas y redes de intercambio de archivos para maximizar su alcance. Las primeras detecciones de la telemetría institucional se registraron en territorio brasileño, confirmando posteriormente la expansión de la campaña a otros países de la región.

El software fraudulento se distribuye principalmente a través de dos esquemas:

• Páginas web dedicadas: Sitios que simulan catálogos de entretenimiento visual exhibiendo capturas de pantalla de los videojuegos. Estos portales incluyen enlaces de descarga directa que redirigen el tráfico hacia PixelDrain, un servicio legítimo de almacenamiento en la nube cuyo uso ha sido vulnerado por los ciberdelincuentes.
• Redes de intercambio P2P: Distribución de instaladores infectados mediante rastreadores de torrents especializados, entre los que destaca la plataforma AniRena. Las víctimas descargan voluntariamente un archivo comprimido que contiene las carpetas del juego junto con el código malicioso oculto.

El análisis de la estructura del código y los comentarios técnicos insertados por los programadores del troyano sugieren, con un nivel de confianza medio, que el autor de la cadena de descarga original es un actor de amenazas de habla hispana. Las firmas digitales de la compañía de seguridad detectan y bloquean de forma automática las variantes de esta familia bajo las clasificaciones técnicas Trojan.Win32.Termixia., Trojan.Win32.Agent., HEUR:Trojan.Win32.Argamal.gen y HEUR:TrojanDownloader.Win32.Argamal.gen.

Recomendaciones estratégicas de protección digital

La descarga de complementos, modificaciones o software desde plataformas no oficiales incrementa de forma crítica la exposición de los usuarios a infecciones digitales complejas. Para mitigar los riesgos asociados con la campaña Argamal y amenazas similares, los investigadores de seguridad aconsejan adoptar las siguientes prácticas operativas:

1. Control estricto de las fuentes de descarga

Es indispensable instalar juegos y aplicaciones informáticas únicamente desde tiendas oficiales o portales corporativos de reputación comprobada. Los repositorios de terceros carecen de auditorías de seguridad eficaces, facilitando la inserción de código malicioso en archivos aparentemente legítimos.

2. Implementación de soluciones de seguridad avanzadas

Se recomienda mantener activos sistemas de protección integral como Kaspersky Premium en todos los ordenadores y dispositivos móviles. Estas herramientas evalúan el comportamiento de los procesos en tiempo real y detienen la ejecución de cargas útiles incluso después de periodos prolongados de inactividad.

3. Visibilidad de las extensiones de archivo en el sistema

Modificar la configuración del explorador de archivos en Windows para que muestre siempre las extensiones de los elementos almacenados constituye una defensa básica fundamental. Esta medida permite a los usuarios distinguir con claridad un archivo de datos de un programa ejecutable. Los troyanos suelen enmascararse bajo nombres de imágenes o documentos de texto, pero mantienen extensiones de riesgo como .exe, .vbs o .scr, las cuales deben ser evitadas por completo si proceden de fuentes dudosas.