Sicherheitsforscher haben die Kampagne am heutigen Montag öffentlich gemacht.
Trojaner in Raubkopien versteckt
Im Zentrum der Angriffswelle steht ein neu entdecktes Werkzeug namens RenEngine-Loader. Es wird in illegalen Kopien von Blockbustern wie Far Cry, FIFA und Assassin’s Creed versteckt. Wer die vermeintlich kostenlosen Spiele herunterlädt, installiert sich unbemerkt Schadsoftware auf den Rechner.
Anzeige: Über 400.000 Geräte wurden bereits durch den RenEngine-Loader kompromittiert – allein in den USA 30.000 Systeme. Die Täter stehlen Passwörter, Cookies und Kryptoguthaben. Mit unserem 3-Schritte-Sicherheitscheck erkennen Sie, ob Ihr Rechner betroffen ist, und schützen sich vor weiteren Angriffen. Jetzt kostenlosen Sicherheits-Check anfordern
Die Experten von Malwarebytes haben die Kampagne analysiert. Demnach wurden weltweit bereits mehr als 400.000 Geräte kompromittiert. Allein in den USA sind rund 30.000 Systeme betroffen. Der Loader dient als Einfallstor für mehrere Schädlinge: den Datendieb ARC Infostealer, die Trojaner Rhadamanthys und AsyncRAT sowie die Hintertür Backdoor.XWorm.
Was die Diebe wirklich wollen
Das Ziel der Angreifer ist klar: Sie wollen an persönliche und finanzielle Daten. Die Malware durchforstet gezielt die gespeicherten Passwörter und Cookies von Webbrowsern. Auch Kryptowährungs-Wallets stehen im Fokus. Sobald die Schadsoftware installiert ist, verschaffen sich die Angreifer dauerhaften Zugriff auf das System – und können jederzeit weitere Befehle ausführen.
Weitere Gefahren für Spieler
Der RenEngine-Feldzug ist kein Einzelfall. Die Sicherheitsfirma Kaspersky hat eine zweite Operation namens Argamal aufgedeckt. Diese Kampagne, die bereits im April 2026 entdeckt wurde, zielt auf Spieler von Erwachsenen- und Hentai-Spielen ab. Die Verbreitung läuft über Torent-Plattformen und Dienste wie PixelDrain.
Argamal verhält sich besonders hinterhältig: Die Malware bleibt nach der Infektion mehrere Tage lang inaktiv, um Sicherheitslösungen zu umgehen. Erst dann lädt sie einen Trojaner herunter, der die vollständige Kontrolle über das System übernimmt. Die Code-Analyse deutet darauf hin, dass die Täter möglicherweise spanischsprachig sind.
Auch seriöse Software wird gefälscht
Doch nicht nur Spiele werden als Köder missbraucht. Bereits im Frühjahr entdeckten Forscher den TookPS-Downloader. Er tarnt sich als legitime Produktivitätssoftware wie AutoCAD, Ableton oder UltraViewer. Diese Kampagne richtet sich nicht nur an Privatnutzer, sondern auch an Unternehmen. Die Angreifer bauen SSH-Tunnel auf, um dauerhaft in die Systeme einzudringen.
Gefahr für KI-Entwicklung und Unternehmen
Die Welle an Schadsoftware erfasst längst auch die Arbeitswelt. Erst am gestrigen Sonntag wurden Berichte über einen sich selbst reproduzierenden Wurm namens Miasma bekannt. Er zielt auf KI-Codierungsassistenten wie Claude Code, Cursor und VS Code ab. Sobald Entwickler ein infiziertes Projekt öffnen, kompromittiert der Wurm die gesamte Codebasis. Am vergangenen Freitag musste GitHub 73 Microsoft-Repositories deaktivieren, die erneut gekapert worden waren. Miasma kann Cloud-Zugangsschlüssel für AWS, GCP und Azure sowie GitHub-Geheimnisse stehlen.
Parallel dazu greifen Angreifer gezielt Unternehmensnetzwerke an. Seit Anfang Juni wird eine kritische Sicherheitslücke in FortiClient EMS (CVE-2026-35616) ausgenutzt. Die Angreifer tarnen den EKZ-Infostealer als legitimes Fortinet-Update. Rund 2.000 EMS-Instanzen sind noch immer ungeschützt. Die US-Behörde CISA hat eine Notfallanweisung erlassen, die Unternehmen zum sofortigen Patchen auffordert.
Neue Variante des Lucid-Stealers
Erst heute wurde zudem eine neue Version des Lucid-Stealers identifiziert. Dieser Schädling wird als Malware-as-a-Service (MaaS) angeboten – jeder kann ihn mieten. Er attackiert 18 verschiedene Browser und Dutzende Kryptowährungsformate. Zu seinen erweiterten Funktionen gehören Bildschirmaufnahmen und eine Fernsteuerungskonsole, mit der die Angreifer Daten direkt vom infizierten Rechner abziehen können.
