Source: Kaspersky (par Denis Brylev). Contexte: publication technique dévoilant de nouveaux détails sur des campagnes impliquant le loader RenEngine et le malware HijackLoader, observées depuis mars 2025 et mises en lumière après une annonce de Howler Cell en février 2026.

• Déguisement et vecteur initial 🎮: RenEngine est diffusé sous forme de jeux piratés/visual novels via un lanceur modifié basé sur Ren’Py et des sites de téléchargement redirigeant vers MEGA. Lors de l’exécution, un écran de chargement bloqué à 100% masque le démarrage du code malveillant. Des scripts Python simulent le chargement infini, intègrent une fonction is_sandboxed (évasion sandbox) et utilisent xor_decrypt_file pour déchiffrer une archive ZIP, extraite dans .temp.

• Chaîne d’infection et détournements 🧩: Dans .temp, un exécutable légitime (Ahnenblatt4.exe) et des DLL légitimes sont accompagnés d’une cc32290mt.dll patchée qui intercepte l’exécution pour déployer le premier étage. La bibliothèque système dbghelp.dll est utilisée comme « conteneur », écrasée en mémoire par un shellcode (depuis gayal.asp) pour charger HijackLoader. Ce loader modulaire chiffre sa configuration (XOR), la stocke dans %TEMP% et peut injecter la charge finale via un processus intermédiaire. Dans l’échantillon analysé, cmd.exe est créé en mode suspendu; via ZwCreateSection/ZwMapViewOfSection, le code de dbghelp.dll est mappé et le module ti lit hap.eml, déchiffre la seconde étape, charge pla.dll et écrase le début de sa section code avec la charge utile.

• Injection avancée et charge finale 🧪: La charge finale (EXE) est configurée pour être injectée dans explorer.exe. Étapes clés: écriture fractionnée du binaire dans un fichier temporaire via transactions Windows (signature MZ écrite en dernier avec délai), mapping en mémoire (ZwCreateSection), puis rollback de la transaction (suppression du fichier). L’injection dans explorer.exe s’effectue via ZwMapViewOfSection. Le module rshell est injecté à l’entrée du processus enfant et l’exécution reprend avec ZwResumeThread; rshell prépare la charge, est effacé (memset) et cède à ESAL. Les charges observées sont des stealers de la famille Lumma et, dans les incidents en cours, ACR Stealer; Vidar a également été signalé. Modules additionnels vus: COPYLIST, modTask, modUAC, modWriteFile.

• Diffusion, portée et détections 🌍: Outre les sites de jeux, des faux sites de logiciels piratés (ex. CorelDRAW « activé ») redirigent vers des archives infectées. La campagne n’apparaît pas ciblée; pics d’incidents en Russie, Brésil, Turquie, Espagne, Allemagne. Détections Kaspersky: RenEngine comme Trojan.Python.Agent.nb et HEUR:Trojan.Python.Agent.gen; HijackLoader comme Trojan.Win32.Penguish et Trojan.Win32.DllHijacker; charges finales détectées comme Trojan-PSW.Win32.Lumma.gen et Trojan-PSW.Win32.ACRstealer.gen. L’article fournit également des recommandations générales et des IOCs.

• IOCs et TTPs

IOCs:

  • Hashes/fichiers:
    • 12EC3516889887E7BCF75D7345E3207A – setup_game_8246.zip
    • D3CF36C37402D05F1B7AA2C444DC211A – init.py
    • 1E0BF40895673FCD96A8EA3DDFAB0AE2 – cc32290mt.dll
    • 2E70ECA2191C79AD15DA2D4C25EB66B9 – Lumma Stealer
  • Sites de distribution/leurres:
    • hxxps://hentakugames[.]com/country-bumpkin/
    • hxxps://dodi-repacks[.]site
    • hxxps://artistapirata[.]fit | hxxps://artistapirata[.]vip
    • hxxps://awdescargas[.]pro | hxxps://zdescargas[.]pro
    • hxxps://fullprogramlarindir[.]me | hxxps://saglamindir[.]vip
    • hxxps://gamesleech[.]com | hxxps://parapcc[.]com
    • hxxps://filedownloads[.]store | hxxps://go[.]zovo[.]ink
  • C2 (Lumma):
    • hxxps://steamcommunity[.]com/profiles/76561199822375128
    • hxxps://localfxement[.]live | hxxps://explorebieology[.]run
    • hxxps://agroecologyguide[.]digital | hxxps://moderzysics[.]top
    • hxxps://seedsxouts[.]shop | hxxps://codxefusion[.]top
    • hxxps://farfinable[.]top | hxxps://techspherxe[.]top | hxxps://cropcircleforum[.]today

TTPs (extraits clés):

  • Masquage en jeux/logiciels piratés; lanceur Ren’Py modifié; hébergement MEGA et redirections multiples.
  • Scripts Python avec is_sandboxed (évasion), xor_decrypt_file (déchiffrement ZIP) et dépôt en .temp.
  • DLL side-loading/patching avec cc32290mt.dll; dbghelp.dll écrasée en mémoire pour injecter HijackLoader.
  • Configuration XOR stockée dans %TEMP% et référencée via variables d’environnement.
  • Chaîne d’injection multi-étapes: cmd.exe suspendu, ZwCreateSection/ZwMapViewOfSection, lecture hap.eml, surcharge de pla.dll.
  • Écriture fractionnée de la charge via transactions Windows (signature MZ retardée), rollback pour effacer le fichier.
  • Injection dans explorer.exe, module rshell à l’entry point, reprise via ZwResumeThread, puis ESAL; modules additionnels: COPYLIST, modTask, modUAC, modWriteFile.

Conclusion: article de type analyse de menace/analyse technique, visant à documenter la campagne RenEngine/HijackLoader, ses charges (Lumma/ACR), ses IOCs et ses mécanismes d’infection.

🧠 TTPs et IOCs détectés

TTP

[‘Masquage en jeux/logiciels piratés’, ‘Lanceur Ren’Py modifié’, ‘Hébergement MEGA et redirections multiples’, ‘Scripts Python avec is_sandboxed (évasion)’, ‘xor_decrypt_file (déchiffrement ZIP)’, ‘DLL side-loading/patching avec cc32290mt.dll’, ‘dbghelp.dll écrasée en mémoire pour injecter HijackLoader’, ‘Configuration XOR stockée dans %TEMP%’, ‘Chaîne d’injection multi-étapes: cmd.exe suspendu, ZwCreateSection/ZwMapViewOfSection’, ‘Écriture fractionnée de la charge via transactions Windows’, ‘Injection dans explorer.exe’, ‘Module rshell à l’entry point, reprise via ZwResumeThread’, ‘Modules additionnels: COPYLIST, modTask, modUAC, modWriteFile’]

IOC

{‘hashes’: [‘12EC3516889887E7BCF75D7345E3207A’, ‘D3CF36C37402D05F1B7AA2C444DC211A’, ‘1E0BF40895673FCD96A8EA3DDFAB0AE2’, ‘2E70ECA2191C79AD15DA2D4C25EB66B9’], ‘domains’: [‘hxxps://hentakugames[.]com/country-bumpkin/’, ‘hxxps://dodi-repacks[.]site’, ‘hxxps://artistapirata[.]fit’, ‘hxxps://artistapirata[.]vip’, ‘hxxps://awdescargas[.]pro’, ‘hxxps://zdescargas[.]pro’, ‘hxxps://fullprogramlarindir[.]me’, ‘hxxps://saglamindir[.]vip’, ‘hxxps://gamesleech[.]com’, ‘hxxps://parapcc[.]com’, ‘hxxps://filedownloads[.]store’, ‘hxxps://go[.]zovo[.]ink’, ‘hxxps://steamcommunity[.]com/profiles/76561199822375128’, ‘hxxps://localfxement[.]live’, ‘hxxps://explorebieology[.]run’, ‘hxxps://agroecologyguide[.]digital’, ‘hxxps://moderzysics[.]top’, ‘hxxps://seedsxouts[.]shop’, ‘hxxps://codxefusion[.]top’, ‘hxxps://farfinable[.]top’, ‘hxxps://techspherxe[.]top’, ‘hxxps://cropcircleforum[.]today’]}

🔗 Source originale : https://securelist.com/renengine-campaign-with-hijackloader-lumma-and-acr-stealer/118891/