{"id":43121,"date":"2026-06-28T10:04:00","date_gmt":"2026-06-28T10:04:00","guid":{"rendered":"https:\/\/www.iprofesional.com\/tecnologia\/458239-argamal-el-malware-que-espera-tres-dias-oculto-en-un-juego-antes-de-robarte-todo"},"modified":"2026-06-28T10:04:00","modified_gmt":"2026-06-28T10:04:00","slug":"asi-es-el-malware-que-se-oculta-en-videojuegos-espera-3-dias-y-despues-roba-tus-contrasenas-y-plata","status":"publish","type":"post","link":"https:\/\/latecordoba.com\/index.php\/2026\/06\/28\/asi-es-el-malware-que-se-oculta-en-videojuegos-espera-3-dias-y-despues-roba-tus-contrasenas-y-plata\/","title":{"rendered":"As\u00ed es el malware que se oculta en videojuegos, espera 3 d\u00edas y despu\u00e9s roba tus contrase\u00f1as y plata"},"content":{"rendered":"\n
<\/div>\n
<\/div>\n

Una nueva campa\u00f1a maliciosa<\/strong> con alcance global, apodada Argamal<\/strong>, dirigida a usuarios de juegos para adultos<\/strong>, com\u00fanmente conocidos como juegos hentai<\/strong>, mediante versiones troyanizadas<\/strong> que despliegan un implante malicioso<\/strong> previamente desconocido, fue descubierta por el Equipo Global de Investigaci\u00f3n y An\u00e1lisis<\/strong> de Kaspersky<\/strong> (GReAT).<\/span><\/p>\n

Durante un monitoreo de telemetr\u00eda<\/strong> de rutina, los expertos detectaron el malware<\/strong> en Rusia<\/strong>, Brasil<\/strong>, Alemania<\/strong>, Vietnam<\/strong> y numerosos otros pa\u00edses, con presencia confirmada en Am\u00e9rica Latina<\/strong> a partir de detecciones en Brasil<\/strong>.<\/p>\n

El aspecto m\u00e1s relevante de Argamal<\/strong> est\u00e1 en su t\u00e9cnica de ocultamiento<\/strong>: el archivo descargado incluye el juego leg\u00edtimo, pero tambi\u00e9n incorpora una biblioteca modificada<\/strong> que se carga autom\u00e1ticamente como parte del funcionamiento normal del software, sin errores visibles ni fallos evidentes.<\/p>\n

El juego funciona con normalidad, algo que reduce la sospecha del usuario y hace que la infecci\u00f3n sea pr\u00e1cticamente invisible.<\/p>\n

Tras un per\u00edodo de espera de varios d\u00edas<\/strong>, el implante<\/strong> descarga una carga adicional que act\u00faa como troyano de acceso remoto<\/strong> (RAT), otorgando a los atacantes control remoto total<\/strong> sobre la m\u00e1quina infectada.<\/p>\n

La demora deliberada es parte del dise\u00f1o: separar temporalmente la descarga del juego de la activaci\u00f3n del malware es precisamente lo que dificulta que la v\u00edctima conecte ambos eventos.<\/span><\/p>\n

C\u00f3mo se distribuye Argamal: PixelDrain, torrents y foros de videojuegos<\/strong><\/h2>\n

Leandro Cuozzo<\/strong>, investigador de seguridad en el Equipo Global de Investigaci\u00f3n y An\u00e1lisis para Am\u00e9rica Kaspersky, resalt\u00f3 que “los ciberdelincuentes han abusado durante mucho tiempo del contenido relacionado con los juegos y de los instaladores de software no oficiales para distribuir malware, confiando en que los usuarios descargan archivos de fuentes no verificadas con poca sospecha”. <\/span><\/p>\n

Y a\u00f1ade: “A lo largo de nuestro an\u00e1lisis, observamos que el malware se actualiza activamente con nuevas caracter\u00edsticas y cambios de infraestructura, lo que sugiere que la campa\u00f1a est\u00e1 en curso y es probable que evolucione a\u00fan m\u00e1s”, <\/span><\/p>\n

La creciente disponibilidad de herramientas p\u00fablicas y automatizaci\u00f3n ha hecho que el desarrollo de malware sea m\u00e1s f\u00e1cil y r\u00e1pido para los actores de amenazas. Como resultado, los usuarios deben evitar descargar software de sitios web y plataformas no oficiales”<\/span>.<\/span><\/p>\n

Los juegos troyanizados se distribuyeron a trav\u00e9s de sitios web dedicados con enlaces de descarga<\/strong> que redirig\u00edan a los usuarios a PixelDrain<\/strong>, un servicio leg\u00edtimo para compartir archivos frecuentemente abusado para la entrega de malware<\/strong>, y tambi\u00e9n a trav\u00e9s de rastreadores de torrents<\/strong>, incluido AniRena<\/strong>.<\/p>\n

En todos los casos observados, las v\u00edctimas descargaron un archivo comprimido que conten\u00eda los archivos del juego infectados junto con una biblioteca DLL manipulada<\/strong> requerida para que el juego funcionara.<\/p>\n

En cuanto el usuario inicia el juego, el archivo DLL infectado<\/strong> se carga autom\u00e1ticamente en la memoria, sin que aparezca un instalador en segundo plano ni ning\u00fan mensaje que solicite desactivar el antivirus<\/strong>.<\/p>\n

Los detalles del virus que tarda en aparecer <\/h2>\n

Durante el an\u00e1lisis t\u00e9cnico, los investigadores identificaron m\u00e9todos de entrega adicionales: en algunos casos, la carga \u00fatil maliciosa<\/strong> se incrust\u00f3 directamente dentro de los archivos del juego; en otro, el actor distribuy\u00f3 un archivo malicioso a trav\u00e9s de un foro de videojuegos<\/strong> disfraz\u00e1ndolo como un truco<\/strong> (cheat) para el juego. <\/span><\/p>\n

Kaspersky<\/strong> eval\u00faa con un nivel de confianza medio que el desarrollador de la cadena de descarga<\/strong> podr\u00eda ser un actor de amenazas de habla hispana<\/strong>, con base en nombres de variables, comentarios en el c\u00f3digo e informaci\u00f3n de infraestructura.<\/p>\n

Eso hace que la amenaza sea especialmente relevante para usuarios de Am\u00e9rica Latina<\/strong>, donde el uso de plataformas no oficiales de descarga de videojuegos est\u00e1 ampliamente extendido.<\/p>\n

Qu\u00e9 hace Argamal una vez dentro: tres d\u00edas de espera y control total del sistema<\/strong><\/h3>\n

Argamal<\/strong> se lo toma con calma: en lugar de lanzarse inmediatamente a robar archivos y contrase\u00f1as, el troyano<\/strong> comprueba primero si se est\u00e1 ejecutando en una m\u00e1quina virtual<\/strong> o en un entorno aislado<\/strong> y luego pasa a modo de espera<\/strong>, durante el cual escribe par\u00e1metros ocultos en el sistema y oculta las rutas de acceso a sus archivos DLL<\/strong>. <\/span><\/p>\n

Tres d\u00edas despu\u00e9s de la infecci\u00f3n inicial, el ordenador se conecta a GitHub<\/strong>, descarga un archivo cifrado<\/strong>, lo descifra y lo convierte en un m\u00f3dulo troyano operativo<\/strong>.<\/p>\n

El malware<\/strong> utiliza COM hijacking<\/strong> para garantizar su persistencia, modificando la entrada InprocServer32<\/strong> del Windows Color System Calibration Loader DLL<\/strong>, una tarea integrada de Windows que se activa cada vez que el usuario inicia sesi\u00f3n, lo que permite al malware ejecutarse autom\u00e1ticamente en cada arranque del sistema.<\/p>\n

Una vez activo, Argamal<\/strong> puede ejecutar comandos arbitrarios en la computadora infectada, descargar y ejecutar archivos, tomar capturas de pantalla<\/strong>, comprimir archivos en archivos .zip<\/strong>, controlar el cursor, realizar reinicios y apagados del sistema y enviar archivos a servidores externos especificados por el atacante.<\/p>\n

Antes de cerrarse, el malware<\/strong> elimina los archivos temporales y cubre sus huellas para dificultar a\u00fan m\u00e1s su detecci\u00f3n por parte de herramientas de an\u00e1lisis forense.<\/p>\n

En s\u00edntesis: quien descarga un juego infectado entrega a un tercero el control completo de su computadora sin saberlo, sin ver ninguna se\u00f1al de alarma y sin poder relacionar el da\u00f1o con el momento exacto de la infecci\u00f3n. <\/p>\n

El peligro real de un RAT: m\u00e1s all\u00e1 del robo de contrase\u00f1as<\/strong><\/h2>\n

Si bien la campa\u00f1a apunta principalmente al robo de datos<\/strong> y credenciales<\/strong>, el RAT<\/strong> tambi\u00e9n habilita a los atacantes para ejecutar cualquier actividad maliciosa que deseen sobre los dispositivos infectados, lo que convierte a Argamal<\/strong> en una amenaza mucho m\u00e1s grave que un simple ladr\u00f3n de contrase\u00f1as<\/strong>.<\/p>\n

El acceso remoto total abre la puerta a escenarios que van desde el espionaje corporativo<\/strong> hasta el ransomware<\/strong>, pasando por el uso de la m\u00e1quina como nodo de una botnet<\/strong> o como herramienta para atacar a terceros.<\/p>\n

Los investigadores observaron durante el an\u00e1lisis una corriente constante de actualizaciones<\/strong> al payload, incluyendo la incorporaci\u00f3n de nuevas funciones y correcciones de errores, as\u00ed como cambios en la infraestructura, lo que indica que el actor de la amenaza<\/strong> continuar\u00e1 desarrollando y mejorando el malware. <\/p>\n

C\u00f3mo protegerse de Argamal: las recomendaciones de Kaspersky para no ser v\u00edctima<\/strong><\/h2>\n

Las soluciones de Kaspersky<\/strong> detectan esta amenaza bajo los nombres Trojan.Win32.Termixia.*<\/strong>, Trojan.Win32.Agent.*<\/strong>, HEUR:Trojan.Win32.Argamal.gen<\/strong> y HEUR:Trojan-Downloader.Win32.Argamal.gen<\/strong>, y la neutralizan antes de que pueda causar da\u00f1o en los dispositivos de los usuarios. <\/span><\/p>\n

La primera y m\u00e1s importante recomendaci\u00f3n de los expertos es la m\u00e1s simple: descargar juegos y mods<\/strong> \u00fanicamente desde fuentes oficiales<\/strong> o sitios web de buena reputaci\u00f3n, evitando por completo plataformas de torrents<\/strong>, sitios de descarga directa no verificados y foros donde cualquier usuario puede subir archivos sin control.<\/p>\n

Se recomienda tambi\u00e9n no compartir m\u00e1s datos de los estrictamente necesarios: si un juego o una p\u00e1gina web para adultos obliga a registrarse, introducir datos personales o vincular cuentas de terceros, eso es una se\u00f1al de alerta que no debe ignorarse.<\/p>\n

Habilitar la opci\u00f3n “mostrar extensiones de archivo”<\/strong> en la configuraci\u00f3n de Windows<\/strong> es otra medida clave: permite identificar f\u00e1cilmente ejecutables disfrazados de videos o documentos, ya que los troyanos<\/strong> suelen presentarse con extensiones como “.exe”<\/strong>, “.vbs”<\/strong> o “.scr”<\/strong> camufladas bajo nombres inocentes.<\/p>\n

Utilizar una soluci\u00f3n de seguridad activa<\/strong> con capacidad de detectar comportamiento sospechoso en tiempo real<\/strong> en todos los dispositivos es la \u00faltima l\u00ednea de defensa, especialmente para aquellos usuarios que no siempre pueden verificar la legitimidad de las fuentes antes de descargar.<\/p>\n

La regla de oro sigue siendo la misma que hace d\u00e9cadas: si algo es gratis, no oficial y parece demasiado conveniente, el precio real probablemente se paga con los datos del dispositivo.<\/p>\n","protected":false},"excerpt":{"rendered":"\n

<\/div>\n

El malware fue detectado en Rusia, Brasil, Alemania y se sospecha que el desarrollador es un actor de amenazas de habla hispana con alcance regional