كشفت أبحاث شركة كاسبرسكي عن تطور خطير في انتشار برمجية "RenEngine" الخبيثة، حيث لم تعد مقتصرة على ترويع مجتمع اللاعبين عبر الألعاب المقرصنة، بل توسعت لتشمل حزم البرامج الاحترافية المخترقة مثل برنامج CorelDRAW.

أوضح قسم أبحاث التهديدات في كاسبرسكي، الذي رصد نسخًا من هذه البرمجية منذ مارس 2025، أن المهاجمين أنشأوا عشرات المواقع الإلكترونية المخصصة لنشر "RenEngine" عبر حزم برمجية مقرصنة متنوعة، مما يعني أن الهجوم أصبح يستهدف الباحثين عن أي نسخة غير مرخصة من البرامج.

شملت الهجمات دولًا متعددة منها روسيا، البرازيل، تركيا، إسبانيا، وألمانيا، ويشير نمط الانتشار إلى أنها هجمات انتهازية وعشوائية، لا تستهدف جهات محددة بدقة. وقد لوحظ أن "RenEngine" كانت تستخدم سابقًا لتوزيع برمجية السرقة "Lumma"، بينما تعتمد حاليًا على توزيع حمولات خبيثة مثل "ACR Stealer" مع ظهور "Vidar Stealer" في بعض السلاسل.

تعتمد الحملة على إصدارات معدلة من ألعاب مبنية على محرك "Ren'Py" للقصص المرئية. فعند تشغيل أداة التثبيت المخترقة، تظهر شاشة تحميل وهمية بينما تعمل النصوص البرمجية الخبيثة في الخلفية، حيث تتميز هذه النصوص بقدرتها على اكتشاف البيئات المعزولة (Sandbox) ومن ثم فك تشفير الحمولة التي تطلق سلسلة إصابات متتالية باستخدام أداة "HijackLoader" لتوزيع البرمجيات الخبيثة المختلفة.

صرح بافيل سينينكو، كبير محللي البرمجيات الخبيثة في كاسبرسكي، بأن التهديد توسع بشكل ملحوظ ليشمل برامج الإنتاجية المقرصنة، مما زاد من شريحة الضحايا المحتملين. وأضاف أن المشكلة تكمن في إمكانية تضمين البرمجيات الخبيثة في ملفات الألعاب إذا لم يتحقق محرك اللعبة من سلامة موارده، حيث تُفعَّل البرمجية بمجرد نقر الضحية على زر التشغيل.