Una campaña activa desde hace al menos seis meses está distribuyendo StealC V2, un infostealer avanzado, a través de archivos .blend manipulados publicados en plataformas de modelos 3D. El ataque explota una función legítima de Blender que permite ejecutar scripts Python incrustados dentro del archivo.
¿Cómo opera la infección?
Los actores suben modelos 3D aparentemente normales, pero con código oculto que se ejecuta al abrir el archivo si la función Auto Run Python Scripts está habilitada.
El flujo del ataque incluye:
Inserción de un script disfrazado como herramienta legítima de rigging.
Descarga automática de un loader en PowerShell.
Obtención de archivos comprimidos que contienen StealC y un segundo stealer en Python.
Extracción de los componentes en %TEMP%.
Persistencia mediante accesos directos ocultos en la carpeta Startup.
Conexión a una infraestructura remota para recibir módulos adicionales.
El uso de Blender en equipos físicos con GPU facilita que esta campaña evada entornos de análisis virtualizados.
Vinculación con operaciones previas
La técnica coincide con tácticas observadas en campañas pasadas donde se utilizaron señuelos creíbles, ejecución silenciosa y cadenas de infección modulares. La evidencia reciente confirma que estos archivos 3D maliciosos están siendo utilizados para desplegar StealC V2.
Capacidades ampliadas de StealC V2
La variante empleada en esta campaña incluye mejoras significativas:
Navegadores: robo de información desde más de 23 navegadores, con compatibilidad en versiones recientes mediante descifrado del lado del servidor.
Cripto-activos: soporte para más de 100 extensiones de wallets y 15 aplicaciones de monederos.
Comunicación y VPN: recolección de datos desde clientes como Telegram, Discord, Tox, Pidgin, ProtonVPN, OpenVPN y clientes de correo.
Evasión: técnicas avanzadas para eludir controles del sistema y ejecutar módulos adicionales desde servidores remotos.
Riesgos para el sector creativo y de producción 3D
Blender es ampliamente utilizado por estudios de animación, videojuegos, publicidad, arquitectura y freelancers. La cultura de compartir modelos y add-ons fomenta la confianza entre usuarios, lo que aumenta el riesgo de que archivos contaminados sean abiertos sin validación previa.
Recomendaciones para empresas
Para reducir el riesgo en entornos productivos y creativos:
Mantener deshabilitada la función Auto Run Python Scripts, salvo en casos donde la procedencia del archivo sea totalmente confiable.
Restringir la ejecución automática de scripts en estaciones de trabajo de diseño.
Validar manual o automáticamente cualquier modelo 3D proveniente de fuentes externas antes de abrirlo.
Implementar segmentación o aislamiento para equipos utilizados en procesos creativos.
Monitorear actividad anómala en PowerShell y en directorios temporales.
Capacitar a personal creativo sobre riesgos asociados a la descarga de modelos de terceros.
