Perfiles de gamers usados como servidores C2: hackers aprovecharon Steam para controlar ocultamente miles de sitios WordPress
Las evidencias del ataque estuvieron a la vista durante meses, pero nadie las notó.
Los atacantes encontraron una forma inusual de ocultar la infraestructura de mando y control del malware, utilizando una plataforma de juegos popular. En lugar de servidores propios para comunicarse con los sitios infectados, los atacantes alojaban comandos cifrados en los comentarios de perfiles de Steam, convirtiendo páginas normales de la comunidad en parte de una red de control oculta.
Los especialistas de GoDaddy Security detectaron una campaña de malware dirigida a sitios gestionados con WordPress. Según la empresa, la infección afectó a unos 1980 recursos. La actividad se registró por primera vez en julio de 2025.
El código malicioso realiza dos funciones a la vez. La primera consiste en inyectar archivos JavaScript de terceros en las páginas de los sitios. La segunda es una puerta trasera completa que permite modificar de forma remota archivos de temas y complementos, manteniendo el control del sistema incluso después de una limpieza parcial.
Para obtener comandos, los sitios infectados consultan perfiles de Steam Community y extraen el contenido de los comentarios. A primera vista esos mensajes parecen inofensivos, pero contienen datos codificados mediante caracteres Unicode invisibles. El usuario no ve elementos sospechosos, pero el malware puede descifrar la información oculta y convertirla en comandos operativos.
Los atacantes cuentan además con protección criptográfica. Los autores de la campaña emplearon el algoritmo AES-256-CTR, el derivador de claves PBKDF2 y la verificación de integridad mediante HMAC. Esa combinación complica el análisis del contenido y permite ocultar las direcciones reales de los nodos de control.
Tras la decodificación, el programa malicioso forma URLs y carga JavaScript externo haciéndolo pasar por bibliotecas legítimas. Durante el análisis, los especialistas registraron la descarga de un archivo desde el dominio hello-mywordl.info. Los nombres falsos de los scripts imitaban componentes comunes del desarrollo web, lo que ayudaba a evitar sospechas.
Especial peligro representa el mecanismo integrado de ejecución remota de código. Al recibir una solicitud especial con determinadas cookies, la puerta trasera puede aceptar código PHP codificado en Base64 y luego reemplazar con él fragmentos existentes en temas y complementos de WordPress. Ese enfoque permite actualizar rápidamente los módulos maliciosos sin volver a comprometer el sitio.
Para ocultar la actividad se emplean métodos adicionales de camuflaje. El código contiene nombres de funciones generados al azar, las cadenas se almacenan cifradas y parte de la lógica consiste en elementos falsos que crean la apariencia de mecanismos de depuración. Además, el malware utiliza activamente las funciones nativas de WordPress, por lo que sus acciones parecen las de extensiones legítimas.
Los autores del informe consideran que la infección se produjo mediante credenciales administrativas robadas, accesos FTP y SFTP comprometidos, complementos vulnerables o componentes de terceros infectados. Para detectar la amenaza se recomienda comprobar las solicitudes a Steam Community desde servidores WordPress, buscar caracteres Unicode invisibles en el código y analizar las conexiones sospechosas a dominios externos.