Los investigadores de ciberseguridad han revelado detalles de una nueva campaña que ha aprovechado los archivos de la Fundación Blender para crear un ladrón de información conocido como StealC V2 .
«Esta operación en curso, activa durante al menos seis meses, implica la implantación de archivos.blend maliciosos en plataformas como CGTrader», dijo Shmuel Uzan, investigador de Morphisec dijo en un informe compartido con The Hacker News.
«Los usuarios descargan sin saberlo estos archivos de modelos 3D, que están diseñados para ejecutar scripts de Python incrustados al abrirlos en Blender, una suite de creación 3D gratuita y de código abierto».
La empresa de ciberseguridad dijo que la actividad comparte similitudes con un campaña anterior vinculado a actores de amenazas de habla rusa que implicaban hacerse pasar por la Electronic Frontier Foundation (EFF) para atacar a la comunidad de jugadores en línea e infectarla con StealC y Pyramid C2.
Esta evaluación se basa en las similitudes tácticas de ambas campañas, incluido el uso de documentos señuelo, técnicas evasivas y la ejecución de malware en segundo plano.
El último conjunto de ataques abusa de la capacidad de incrustar scripts de Python en archivos.blend, como plataformas de caracteres, que se ejecutan automáticamente cuando se abren en escenarios en los que la opción de ejecución automática está habilitada. Este comportamiento puede ser peligroso, ya que abre la puerta a la ejecución de scripts arbitrarios de Python.
El riesgo de seguridad ha sido reconocido por Blender en su propia documentación, que estados : «La capacidad de incluir scripts de Python en los archivos de mezcla es valiosa para tareas avanzadas como la manipulación y la automatización. Sin embargo, supone un riesgo para la seguridad, ya que Python no restringe lo que puede hacer un script».
Básicamente, las cadenas de ataque implican subir archivos.blend maliciosos a sitios de activos 3D gratuitos, como CGTrader, que contienen un script malicioso "Rig_Ui.py «, que se ejecuta tan pronto como se abren con la función Auto Run de Blender habilitada. Esto, a su vez, obtiene un script de PowerShell para descargar dos archivos ZIP.
Si bien uno de los archivos ZIP contiene una carga útil para StealC V2, el segundo archivo implementa un ladrón secundario basado en Python en el host comprometido. La versión actualizada de StealC, que se anunció por primera vez a finales de abril de 2025, admite una amplia gama de funciones de recopilación de información, lo que permite extraer datos de 23 navegadores, 100 complementos y extensiones web, 15 aplicaciones de monederos de criptomonedas, servicios de mensajería, VPN y clientes de correo electrónico.
«Mantenga la ejecución automática desactivada a menos que la fuente del archivo sea confiable», dijo Morphisec. «Los atacantes aprovechan Blender, que normalmente se ejecuta en máquinas físicas con GPU, para eludir los entornos aislados y virtuales».