Tim Riset Ancaman (Threat Research) Kaspersky merilis analisis teknis mereka tentang RenEngine, sebuah malware loader yang baru-baru ini menarik perhatian publik.
Kaspersky mengidentifikasi sampel RenEngine sejak Maret 2025. Selain game bajakan yang disorot dalam laporan terbaru, para peneliti Kaspersky menemukan bahwa penyerang membuat puluhan situs web yang mendistribusikan RenEngine melalui perangkat lunak bajakan, termasuk editor grafis seperti CorelDRAW. Hal ini memperluas permukaan serangan tidak hanya menargetkan komunitas game tapi juga ke siapa pun yang mencari perangkat lunak tanpa lisensi.
Kaspersky telah mencatat insiden di Rusia, Brasil, Turki, Spanyol, dan Jerman, di antara negara-negara lain. Pola distribusi menunjukkan sifat serangan yang oportunistik daripada operasi tertarget.
Ketika Kaspersky pertama kali mengidentifikasi RenEngine, loader tersebut mengirimkan Lumma stealer. Serangan saat ini mendistribusikan ACR Stealer sebagai muatan akhir, dan Vidar stealer juga telah diamati dalam beberapa rantai infeksi.
Kampanye ini mengeksploitasi versi modifikasi dari game yang dibangun di atas mesin novel visual Ren’Py. Saat pengguna meluncurkan penginstal yang terinfeksi, layar pemuatan palsu muncul sementara skrip berbahaya dieksekusi di latar belakang. Skrip tersebut mencakup kemampuan deteksi sandbox dan mendekripsi muatan yang memulai rantai infeksi multi-tahap menggunakan HijackLoader, alat pengiriman malware modular.
“Ancaman ini meluas tidak hanya pada game bajakan — penyerang menggunakan teknik yang sama untuk mendistribusikan malware melalui perangkat lunak produktivitas bajakan, yang secara signifikan memperluas potensi korban,” kata Pavel Sinenko, analis malware utama di Kaspersky Threat Research.
“Format arsip game bervariasi berdasarkan mesin dan judul. Jika mesin tidak memeriksa integritas sumber dayanya, penyerang dapat menyematkan malware yang dieksekusi saat Anda mengklik mainkan,” sambungnya.
Solusi Kaspersky mendeteksi RenEngine sebagai Trojan.Python.Agent.nb dan HEUR:Trojan.Python.Agent.gen. HijackLoader terdeteksi sebagai Trojan.Win32.Penguish dan Trojan.Win32.DllHijacker.
