كشف باحثون في كاسبرسكي عن توسع كبير في نطاق عمل برمجية التحميل الخبيثة "RenEngine"، التي لم تعد تستهدف فقط محبي الألعاب المقرصنة، بل امتدت لتشمل مستخدمي برامج احترافية مثل CorelDRAW عبر عشرات المواقع المزيفة.

أوضح قسم أبحاث التهديدات في كاسبرسكي أنهم رصدوا هذه البرمجية الخبيثة منذ مارس 2025، وأنها تستغل الآن برامج مقرصنة أخرى غير الألعاب لنشر حمولتها الضارة. هذا التوسع يعني أن شبكة المهاجمين أصبحت تستهدف شريحة أوسع من الباحثين عن أي برامج غير مرخصة.

تتميز حملات RenEngine بكونها انتهازية، حيث تم رصد نشاطها في عدة دول أبرزها روسيا، البرازيل، تركيا، إسبانيا وألمانيا. عند اكتشافها للمرة الأولى، كانت تستخدم لتوزيع برنامج سرقة المعلومات Lumma، لكنها تحولت الآن لتنشر برمجية ACR Stealer كحمولة نهائية، مع ظهور Vidar Stealer في بعض الحالات.

تعتمد الآلية الخبيثة على إصدارات معدلة من ألعاب مبنية على محرك Ren'Py للقصص المرئية، أو حتى برامج إنتاجية. فعندما يضغط المستخدم لتشغيل الأداة المصابة، تظهر شاشة تحميل وهمية، بينما تعمل النصوص البرمجية الخبيثة في الخلفية، حيث تقوم أولاً باكتشاف بيئات الاختبار (Sandbox) قبل فك تشفير الحمولة وإطلاق سلسلة إصابات متتالية باستخدام أداة HijackLoader القابلة للتخصيص.

أكد بافيل سينينكو، كبير محللي البرمجيات الخبيثة في كاسبرسكي، أن التهديد لم يعد مقتصراً على الألعاب، مشيراً إلى أن المهاجمين يستخدمون نفس الأسلوب لنشر برمجيات خبيثة عبر برامج الإنتاجية المقرصنة، مما وسع قاعدة الضحايا. وأضاف أن عدم تحقق محرك اللعبة من سلامة موارده يتيح للمهاجمين زرع البرمجيات الخبيثة التي تُفعَّل بمجرد النقر على زر التشغيل.