Argamal es un nuevo malware oculto en juegos para adultos. La campaña de este malware ha sido detectada en varios países y está presente en América Latina.
En abril de 2026, durante un monitoreo de telemetría de rutina, el Equipo Global de Investigación y Análisis de Kaspersky (GReAT) descubrió una nueva campaña maliciosa con alcance global y presencia en América Latina, a partir de detecciones en Brasil.
Modus operandi y distribución
La amenaza, apodada Argamal, está dirigida a cientos de usuarios de juegos para adultos, comúnmente conocidos como “juegos hentai”, mediante versiones troyanizadas que despliegan un implante malicioso previamente desconocido.
Tras permanecer inactivo durante varios días, este implante descarga y ejecuta un troyano adicional, diseñado para robar datos y credenciales, así como para otorgar a los atacantes control remoto total sobre los dispositivos infectados.
Canales de propagación utilizados
Los juegos maliciosos se distribuyeron a través de múltiples canales. Los investigadores identificaron varios sitios web que alojaban capturas de pantalla de juegos junto con enlaces de descarga que redirigían a los usuarios a PixelDrain, un servicio legítimo para compartir archivos frecuentemente abusado para la entrega de malware.
En paralelo, los instaladores troyanizados también se difundieron a través de rastreadores de torrents, incluido AniRena. En todos los casos observados, las víctimas descargaron un archivo que contenía los archivos del juego infectados.
Análisis técnico del código
Torrent de juego malicioso en AniRena. El archivo malicioso contenía archivos de juego legítimos junto con una biblioteca manipulada requerida para que el juego funcionara.
Como resultado, el código malicioso se ejecutaba automáticamente cuando el usuario iniciaba el juego, sin afectar el desarrollo normal del juego y haciendo que la infección fuera menos notoria para las víctimas.
Métodos alternativos de infección
Durante la investigación, los analistas también identificaron métodos de entrega adicionales utilizados para distribuir el RAT. En algunos casos, la carga útil maliciosa se incrustó directamente dentro de los archivos del juego y se cargó a través de componentes modificados empaquetados con el juego.
En otro caso, el actor de la amenaza distribuyó un archivo malicioso a través de un foro de juegos, disfrazándolo como un truco para el juego. Con base en información técnica y comentarios en el código, los investigadores asumen con un nivel de confianza medio que el desarrollador de la cadena de descarga podría ser un actor de amenazas de habla hispana.
Recomendaciones fundamentales de protección
Las soluciones de Kaspersky detectan esta amenaza como Trojan.Win32.Termixia.* y Trojan.Win32.Agent.*. También es identificada bajo las firmas HEUR: Trojan.Win32.Argamal.gen y HEUR: Trojan Downloader.Win32.Argamal.gen.
Para mantenerse seguros, los expertos recomiendan a los usuarios ser cuidadosos con las descargas. Es más seguro instalar juegos y mods solo de fuentes oficiales o sitios web de buena reputación, ya que las fuentes no oficiales pueden contener malware.
Utilizar una solución de seguridad sólida en todas las computadoras y dispositivos móviles te va a advertir y va a evitar cualquier infección.
Configuración del sistema y prevención
Habilitar la opción “mostrar extensiones de archivo” en la configuración de Windows. Esto hará que sea mucho más fácil distinguir los archivos potencialmente maliciosos.
Como los troyanos son programas, debe estar advertido para mantenerse alejado de extensiones de archivo como “exe”, “vbs” y “scr”. Los ciberdelincuentes podrían usar varias extensiones para disfrazar un archivo malicioso como un video, una foto o un documento.
