ESET descubrió un nuevo malware, al que denominó PipeMon, utilizado por el grupo de ciberdelincuentes Winnti que tiene como objetivo a compañías de desarrollo de videojuegos multijugador online (MMO) de Taiwán y Corea del Sur, sus juegos están disponibles en plataformas populares y cuentan con la participación de miles de jugadores de manera simultánea.

Los operadores de este malware, en al menos una ocasión, lograron comprometer un sistema de compilación (build system) de una de sus víctimas, lo que podría haber llevado a un ataque de cadena de suministro al permitir a los atacantes troyanizar los ejecutables del juego. En otro caso, los servidores del videojuego fueron comprometidos, lo que podría haber permitido a los atacantes,  manipular las divisas del juego para obtener ganancias financieras.

ESET contactó a las compañías afectadas y proporcionó la información necesaria para solucionar los problemas de seguridad. “Existen suficientes indicadores como para atribuir esta campaña al grupo Winnti. Algunos de los dominios de mando y control utilizados por PipeMon fueron utilizados previamente en otras campañas realizadas por el grupo. Además, en 2019 se encontró otra variante del malware Winnti en las mismas compañías en las que  ahora hemos encontrado PipeMon”, afirmó Mathieu Tartare, investigador de malware en ESET.

El grupo Winnti está activo al menos desde 2012 y es responsable de ataques de alto nivel a la cadena de suministro de empresas de software y de desarrollo de videojuegos, entre los que destaca la distribución de software troyanizado (como sucedió con CCleaner, ASUS LiveUpdate o con diferentes videojuegos). Los investigadores de ESET recientemente identificaron una campaña basada en ShadowPad y en el malware Winnti que afectaba a varias universidades de Hong Kong.