Trojan Akses Jarak Jauh (Remote Access Trojan/RAT) baru yang menargetkan ratusan pengguna game dewasa telah ditemukan oleh para peneliti Kaspersky GReAT.
Malware yang dijuluki Argamal ini telah terdeteksi di Rusia, Brasil, Jerman, Vietnam, dan di banyak negara lainnya. Meskipun kampanye ini terutama bertujuan untuk mencuri data dan kredensial, RAT ini juga memberi penyerang kendali jarak jauh penuh atas perangkat yang terinfeksi, memungkinkan mereka untuk menjalankan berbagai aktivitas berbahaya.
Pada April 2026, selama pemantauan telemetri rutin, Tim Riset dan Analisis Global Kaspersky menemukan kampanye malware baru yang menargetkan pemain game dewasa, yang biasa disebut sebagai “game hentai.” Skema ini mengandalkan game yang disusupi trojan kemudian menyebarkan implan berbahaya yang sebelumnya tidak dikenal ke perangkat korban. Setelah tetap tidak aktif selama beberapa hari, implan tersebut mengunduh dan menjalankan trojan tambahan, sehingga akhirnya menyebabkan kompromi sistem penuh dan memberi penyerang akses jarak jauh ke mesin yang terinfeksi.
Game-game berbahaya tersebut didistribusikan melalui berbagai saluran. Para peneliti mengidentifikasi beberapa situs web yang menampilkan tangkapan layar game bersama dengan tautan unduhan yang mengarahkan pengguna ke PixelDrain, layanan berbagi file sah yang sering disalahgunakan untuk pengiriman malware. Secara paralel, penginstal yang terinfeksi trojan juga menyebar melalui pelacak torrent, termasuk AniRena. Dalam semua kasus yang diamati, korban mengunduh arsip yang berisi file game yang terinfeksi.
Arsip berbahaya tersebut berisi file game sah bersamaan dengan pustaka yang telah dimodifikasi yang diperlukan agar game dapat berjalan. Akibatnya, kode berbahaya tersebut dieksekusi secara otomatis ketika pengguna meluncurkan game, tanpa memengaruhi gameplay normal dan membuat infeksi kurang terlihat oleh korban.
Selama investigasi, para peneliti juga mengidentifikasi metode pengiriman tambahan yang digunakan untuk mendistribusikan RAT. Dalam beberapa kasus, muatan berbahaya disematkan langsung di dalam file game dan dimuat melalui komponen yang dimodifikasi yang dibundel dengan game tersebut. Dalam contoh lain, pelaku ancaman mendistribusikan file berbahaya melalui forum game, menyamarkannya sebagai cheat game.
“Para pelaku kejahatan siber telah lama menyalahgunakan konten terkait game dan penginstal perangkat lunak tidak resmi untuk mendistribusikan malware, mengandalkan pengguna yang mengunduh file dari sumber yang tidak terverifikasi dengan sedikit kewaspadaan. Sepanjang analisis, kami mengamati malware tersebut secara aktif diperbarui dengan fitur baru dan perubahan infrastruktur, menunjukkan bahwa kampanye tersebut sedang berlangsung dan kemungkinan akan berkembang lebih lanjut. Meningkatnya ketersediaan alat publik dan otomatisasi telah membuat pengembangan malware lebih mudah dan cepat bagi penyerang. Kami menghimbau, pengguna harus menghindari mengunduh perangkat lunak dari situs web dan platform tidak resmi,” kata Dmitry Galov, Kepala unit Rusia dan CIS di Tim Riset dan Analisis Global Kaspersky.
Berdasarkan informasi teknis dan komentar dalam kode, para peneliti berasumsi dengan keyakinan sedang bahwa pengembang rantai pengunduh tersebut mungkin adalah pelaku ancaman siber berbahasa Spanyol.
Solusi Kaspersky mendeteksi ancaman ini sebagai Trojan.Win32.Termixia., Trojan.Win32.Agent., HEUR:Trojan.Win32.Argamal.gen dan HEUR:Trojan-Downloader.Win32.Argamal.gen.
