Исследователи из «Лаборатории Касперского» обнаружили новую вредоносную кампанию: злоумышленники распространяют RAT Argamal через хентай-игры, торрент-трекеры и игровые форумы. Больше трети всех заражений (38%) пришлось на пользователей из России.

Эксперты рассказывают, что весной 2026 года было выявлено, что злоумышленники распространяют ранее неизвестный троян удаленного доступа Argamal, который после заражения предоставляет атакующим практически полный контроль над системой.

По данным компании, вредонос был обнаружен на устройствах сотен пользователей в разных странах, включая Россию, Бразилию, Германию и Вьетнам.

Атаки начинаются с архивов, содержащих зараженную игру. После запуска на компьютер жертвы устанавливается скрытый вредоносный модуль. Несколько дней он никак не проявляет себя, а затем загружает дополнительную полезную нагрузку, которая завершает компрометацию устройства.

После этого операторы Argamal могут удаленно выполнять команды на зараженной машине, делать скриншоты, управлять курсором, архивировать файлы и отправлять их на свои серверы, а также перезагружать или выключать систему. Фактически речь идет о полноценном RAT с широкими возможностями для кражи данных и дальнейшего развития атаки.

Подробный технический анализ малвари показал, что Argamal может закрепляться в системе, собирать информацию о защитном ПО на устройстве и загружать новые модули с управляющих серверов. По мнению исследователей, основная цель этой кампании — кража данных и учетных записей, однако возможности трояна позволяют выполнять практически любые вредоносные действия в зараженной системе.

Эксперты обнаружили сразу несколько сайтов, публиковавших скриншоты из игр для взрослых и ссылки на их скачивание. Сами файлы размещались на PixelDrain — бесплатном файлообменнике, который злоумышленники нередко используют для распространения малвари. Кроме того, зараженные игры были замечены на торрент-трекерах.

В некоторых случаях вредоносный код был внедрен непосредственно в игровые файлы, и троян загружался через модифицированные компоненты. Также специалисты обнаружили образец, замаскированный под чит, который распространялся на одном из игровых форумов.

Согласно отчету исследователей, эта кампания активна уже не первый год. Анализ показал, что отдельные элементы вредоносной цепочки использовались как минимум с 2024 года. За это время Argamal успел неоднократно обновиться: злоумышленники меняли инфраструктуру, исправляли ошибки и добавляли трояну новые возможности.

На основании комментариев в коде, особенностей инфраструктуры и других артефактов исследователи предполагают, что за разработкой вредоносной цепочки могут стоять испаноговорящие злоумышленники. Впрочем, эту атрибуцию специалисты оценивают лишь с умеренной степенью уверенности.