Investigadores de McAfee identificaron una campaña denominada WeedHack que utilizó modificaciones, herramientas de trampa y software relacionado con Minecraft para distribuir malware. La operación robó credenciales, billeteras de e información sensible de unos 116 mil usuarios.
Una investigación publicada por McAfee Labs reveló detalles de WeedHack, una campaña de malware dirigida principalmente a la comunidad de Minecraft que logró comprometer más de 116.464 dispositivos en el mundo. Según los investigadores, la operación se desarrolló mediante la distribución de mods, herramientas de automatización, clientes modificados y otros archivos vinculados al popular videojuego, los cuales contenían código malicioso oculto destinado al robo de información.
El análisis indica que los atacantes utilizaron plataformas como GitHub, canales de Discord y sitios frecuentados por jugadores para difundir los archivos infectados. Los usuarios descargaban programas aparentemente legítimos relacionados con Minecraft, pero al ejecutarlos activaban una cadena de infección diseñada para instalar componentes adicionales en el sistema. McAfee describió la operación como una infraestructura de Malware-as-a-Service (MaaS), permitiendo que diferentes actores utilizaran las herramientas desarrolladas por los responsables de la campaña.
Los investigadores determinaron que el malware recopilaba información almacenada en navegadores, credenciales de acceso, tokens de autenticación, datos de aplicaciones de mensajería y archivos asociados a billeteras de criptomonedas. Además, los sistemas comprometidos podían recibir nuevas cargas maliciosas desde servidores controlados por los operadores de la campaña, ampliando las capacidades del ataque después de la infección inicial.
McAfee señaló que la actividad alcanzó una escala considerable, indicando que “desde enero de 2026, ha registrado más de 116.000 infecciones, con un promedio de entre 2.000 y 3.000 nuevos ataques diarios”. La compañía explicó que la cifra fue obtenida a partir del análisis de la infraestructura utilizada por los atacantes y de los sistemas que se comunicaron con los servidores de comando y control identificados durante la investigación.
Uno de los elementos destacados del caso es que los operadores no se limitaron al robo de información financiera o credenciales. La investigación también documentó comportamientos asociados al acoso digital y al control de cuentas comprometidas. Los especialistas indicaron que “observamos que muchos clientes parecían ser adolescentes y adultos jóvenes, y que una parte importante utilizaba las herramientas de acceso remoto no para obtener beneficios económicos, sino para acosar e intimidar a otros jugadores”.
Según McAfee, la campaña permitió que determinados actores utilizaran el acceso obtenido para afectar a otros usuarios dentro de comunidades en línea vinculadas al juego. El reporte señala que “observamos cómo los atacantes grababan a las víctimas a través de sus cámaras web sin su consentimiento y compartían esas grabaciones en el canal de Telegram como trofeos. Otros utilizaban el conocimiento de las direcciones IP de las víctimas y su acceso a los sistemas para amenazarlas”.
El informe describe además la evolución del malware y las distintas versiones identificadas durante la investigación. Los investigadores observaron que los operadores actualizaron periódicamente sus herramientas para incorporar nuevas funcionalidades y evadir mecanismos de detección. Esta capacidad de adaptación permitió que la campaña permaneciera activa durante un período prolongado mientras continuaba captando nuevas víctimas.
Los investigadores recomendaron a los usuarios descargar únicamente modificaciones y complementos desde fuentes confiables, revisar cuidadosamente los permisos solicitados por herramientas de terceros y mantener actualizadas las soluciones de seguridad. Asimismo, aconsejaron cambiar contraseñas y credenciales en caso de haber instalado software potencialmente relacionado con los indicadores de compromiso identificados durante la investigación.