Construir una casa, formar una familia… y perder tus contraseñas: la actualización de The Sims 4 resultó ser un programa espía
Las medidas de protección habituales fallaron esta vez. ¿Por qué?
Los ciberdelincuentes con mayor frecuencia disfrazan programas maliciosos no solo como software conocido por los usuarios, sino también como videojuegos o herramientas para estos. En una nueva campaña, los atacantes incluso firmaron el archivo infectado con un certificado digital oficial para reducir las sospechas de los sistemas de defensa y facilitar la ejecución del código malicioso en los dispositivos de las víctimas.
El 7 de abril de 2026, especialistas de Breakglass Intelligence descubrieron una nueva versión del archivo malicioso «sims-4-updater-v1.4.7.exe», distribuido como actualización para un popular videojuego. A diferencia de variantes anteriores, la nueva muestra estaba firmada con un certificado vigente de DigiCert, emitido a la empresa surcoreana MobSoft Co., Ltd apenas cinco días antes de que el archivo se hiciera público.
El análisis reveló que el programa es una puerta trasera con elementos de ofuscación compleja y autoextraído. El comportamiento y los artefactos técnicos, incluidos un mutex único y entradas en el registro, coinciden con las herramientas del grupo APT-Q-27, también conocido como GoldenEyeDog y Dragon Breath. Anteriormente se vinculaba a ataques contra el sector del juego de azar en el sudeste asiático, pero ahora se observa un desplazamiento hacia la audiencia masiva de jugadores.
La infraestructura de mando y control sigue activa. El servidor principal está en el dominio «lightindividual.com» con alojamiento en Dallas; cerca funciona un nodo de reserva. Para la distribución del archivo se utiliza el recurso «anadius.su», conocido en la comunidad de modding de The Sims 4. Por ahora no está claro si el sitio fue comprometido o si los atacantes operan mediante una copia falsificada.
Se puso especial atención en el método de descarga de la configuración. El código malicioso recurre a servicios como rentry y GitHub, usándolos como «dead drops» para obtener comandos. Ese enfoque complica el bloqueo por dominios y exige analizar la actividad de red a nivel de comportamiento.
El uso de un certificado EV fue el cambio clave. El archivo firmado genera menos sospechas en sistemas Windows y puede eludir los mecanismos de protección estándar. Según el informe, el grupo ya había empleado certificados robados o obtenidos por engaño, pero en este caso la rapidez —solo cinco días entre la emisión y el ataque— indica un esquema afinado.
Actualmente se ha iniciado la revocación del certificado y los proveedores de alojamiento y los administradores de los servicios implicados han recibido notificaciones. Al mismo tiempo, los especialistas verifican si el canal de distribución está relacionado con la compromisión de un recurso popular o si se trata de una suplantación dirigida.