🗓️ Source : Securelist (Kaspersky) — Publication le 16 juin 2026, auteurs : Maxim Starodubov et Denis Brylev.

Contexte

Depuis fin 2025 (et confirmé dès août 2025 selon la mise à jour du 17 juin), des acteurs malveillants exploitent Steam Workshop et l’application Wallpaper Engine pour distribuer des malwares à grande échelle. Des dizaines de fonds d’écran malveillants ont été identifiés, chacun ayant été téléchargé des milliers à des dizaines de milliers de fois.

Vecteur d’infection

Le vecteur repose sur la fonctionnalité “Application wallpapers” de Wallpaper Engine, qui permet l’exécution de code arbitraire sous forme de fond d’écran. Deux méthodes de distribution ont été identifiées :

  • Archive contenant un exécutable malveillant (EXE, DLL, scripts) aux côtés du fond d’écran légitime
  • Archive protégée par mot de passe, avec le mot de passe dissimulé dans le nom de l’archive ou dans un fichier JSON de configuration

Chaîne d’infection détaillée (exemple analysé)

Un échantillon découvert en décembre 2025 se présente comme un jeu jouable en fond d’écran (NTRaholic) :

  1. Le fond d’écran dépose Synaptics.exe (famille DarkKomet) sur le système
  2. ._cache_GAME1.exe lance le jeu légitime tout en installant une version modifiée de AggregatorHost.dll
  3. La DLL modifiée localise l’application Steam et vole les identifiants de session
  4. Les données collectées sont exfiltrées vers http://120.48.156[.]17/ey.php
  5. Le compte Steam compromis est utilisé pour publier de nouveaux fonds d’écran malveillants

Malwares distribués

  • DarkKomet (backdoor)
  • Lumma (infostealer)
  • Vidar (infostealer)
  • RenEngine (loader)
  • Ransomware, crypto miners, botnet loaders

Victimologie

  • 🇨🇳 Chine : 89% des tentatives de téléchargement malveillant
  • 🇷🇺 Russie : 5,5%
  • Autres : Singapour (1,4%), Hong Kong (0,9%), Allemagne (0,9%), Vietnam (0,9%), Inde (0,5%), Canada (0,5%)

Les styles artistiques et titres des fonds d’écran sont adaptés au public chinois. Plusieurs groupes indépendants sont suspectés d’être à l’origine de cette campagne.

Attribution

Aucun acteur nommé. La diversité des outils utilisés suggère plusieurs groupes cybercriminels indépendants exploitant la même tendance.

📄 Type d’article : Publication de recherche technique à visée CTI, documentant une campagne active de distribution de malwares via une plateforme de gaming grand public.

🧠 TTPs et IOCs détectés

TTP

  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1574.002 — Hijack Execution Flow: DLL Side-Loading (Persistence)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1496 — Resource Hijacking (Impact)
  • T1486 — Data Encrypted for Impact (Impact)

IOC

  • IPv4 : 202.144.192.29AbuseIPDB · VT · ThreatFox
  • IPv4 : 120.48.156.17AbuseIPDB · VT · ThreatFox
  • Domaines : brightly.toVT · URLhaus · ThreatFox
  • URLs : http://202.144.192.29/audit.phpURLhaus
  • URLs : http://202.144.192.29/download2/Themes2.zipURLhaus
  • URLs : http://120.48.156.17/ey.php?ka=user1&idURLhaus
  • URLs : http://brightly.to/download2/Themes2.zipURLhaus
  • URLs : https://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1URLhaus
  • URLs : https://steamcommunity.com/sharedfiles/filedetails/?id=3603213159URLhaus
  • URLs : https://steamcommunity.com/sharedfiles/filedetails/?id=3591930233URLhaus
  • URLs : https://steamcommunity.com/sharedfiles/filedetails/?id=3584318845URLhaus
  • URLs : https://steamcommunity.com/sharedfiles/filedetails/?id=3436875036URLhaus
  • URLs : https://steamcommunity.com/sharedfiles/filedetails/?id=3633494498URLhaus
  • URLs : https://steamcommunity.com/sharedfiles/filedetails/?id=3556591375URLhaus
  • URLs : https://steamcommunity.com/sharedfiles/filedetails/?id=3635875825URLhaus
  • URLs : https://steamcommunity.com/sharedfiles/filedetails/?id=3601924072URLhaus
  • URLs : https://steamcommunity.com/sharedfiles/filedetails/?id=3605588743URLhaus
  • URLs : https://steamcommunity.com/sharedfiles/filedetails/?id=3553253793URLhaus
  • URLs : https://steamcommunity.com/sharedfiles/filedetails/?id=3462675635URLhaus
  • URLs : https://steamcommunity.com/sharedfiles/filedetails/?id=3605621824URLhaus
  • URLs : https://steamcommunity.com/sharedfiles/filedetails/?id=3610240788URLhaus
  • URLs : https://steamcommunity.com/sharedfiles/filedetails/?id=3610366547URLhaus
  • MD5 : 95856f2ce428c728d9781d3296558068VT · MalwareBazaar
  • MD5 : af080780cca2acd1d082ce01e7cc346aVT · MalwareBazaar
  • MD5 : c133c3dd9f7d6934598025047df41abfVT · MalwareBazaar
  • MD5 : d1693bbff456ae8fa3360446706df6daVT · MalwareBazaar
  • MD5 : 8c2cc585ad8a13a72a704c0fda0c9854VT · MalwareBazaar
  • MD5 : b9fa763a53da3eea742d0f3c845a8c09VT · MalwareBazaar
  • MD5 : ded08ae5df7f1b12e5fdb767dbbed0b1VT · MalwareBazaar
  • MD5 : 20965254e29104986e11939decd39549VT · MalwareBazaar
  • MD5 : 18dedc0009f0927cba6425c84cce9883VT · MalwareBazaar
  • MD5 : 0f4f01c6d495abb37403072dd017ce8dVT · MalwareBazaar
  • MD5 : 5620f01284329f561b1839a36be55355VT · MalwareBazaar
  • MD5 : fe1f6485013cd5e6d5cf718049b0b8d6VT · MalwareBazaar
  • MD5 : 74414ed4b63aadec039b603c32762b80VT · MalwareBazaar
  • Fichiers : Synaptics.exe
  • Fichiers : ._cache_GAME1.exe
  • Fichiers : AggregatorHost.dll
  • Fichiers : Synaptics.rar

Malware / Outils

  • DarkKomet (backdoor)
  • Lumma (stealer)
  • Vidar (stealer)
  • RenEngine (loader)

🟢 Indice de vérification factuelle : 90/100 (haute)

  • ✅ securelist.com — source reconnue (liste interne) (20pts)
  • ✅ 13982 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 39 IOCs dont des hashes (15pts)
  • ✅ 3/6 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 9 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 202.144.192.29 (ip) → VT (10/91 détections)
  • 120.48.156.17 (ip) → VT (8/91 détections)
  • brightly.to (domain) → VT (13/91 détections)

🔗 Source originale : https://securelist.com/dozens-of-malicious-wallpapers-found-on-steam-workshop/120186/