Madrid, 20 de junio de 2025 - Check Point Research, la división de Inteligencia de Amenazas Check Point®
Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, ha
descubierto una sofisticada campaña de robo de datos que afecta a la comunidad global de jugadores de
Minecraft. La amenaza se distribuye a través de Stargazers Ghost Network, una plataforma de distribución
como servicio (DaaS) que opera en GitHub, y consiste en un malware en múltiples fases que se hace pasar
por herramientas de modificación de juego (scripts y macros, o cheats) como Oringo y Taunahi.
El ataque utiliza un cargador y un stealer desarrollados en Java, que requieren que Minecraft esté instalado
en el dispositivo de la víctima, y una tercera fase en .NET con capacidades ampliadas. Debido a que la
amenaza está escrita en Java —lenguaje a menudo pasado por alto por soluciones de seguridad
tradicionales— ha logrado evadir la mayoría de los motores antivirus y análisis en sandbox. Check Point
Research también ha identificado que el malware ha sido desarrollado por un actor de habla rusa, como
demuestran múltiples artefactos en dicho idioma hallados en los archivos maliciosos.
Análisis técnico de la campaña Stargazers Ghost Network
Desde marzo de 2025, Check Point Research ha monitorizado varios repositorios maliciosos en GitHub que
ofrecían supuestos mods para Minecraft, en realidad diseñados para propagar malware. Entre los nombres
identificados figuran: FunnyMap-0.7.5.jar, Oringo-1.8.9.jar, Polar-1.8.9.jar, SkyblockExtras-1.8.9.jar y
Taunahi-V3.jar.
Estos archivos no eran detectados por motores antivirus en VirusTotal, debido a que los entornos sandbox
carecen de las dependencias necesarias para su ejecución. Al ejecutarse como un mod en Minecraft, el
cargador Java descargaba una segunda fase maliciosa que a su vez desplegaba un stealer en .NET capaz de
robar credenciales de Discord, Telegram, clientes de Minecraft, carteras de criptomonedas y navegadores.
Imagen 1. Detección de VirusTotal
©2025 Check Point Software Technologies Ltd. All rights reserved | P. 2
El malware incluye técnicas anti-análisis y anti-virtualización, verificando el entorno de ejecución antes de
activarse. También utiliza Pastebin para recuperar las URL de descarga de las siguientes fases, y envía la
información robada a través de webhooks de Discord.
Modus operandi y cadena de infección
1. El jugador descarga e instala un mod de Minecraft desde un repositorio GitHub controlado por los
atacantes.
2. Al iniciar el juego, el mod malicioso descarga un stealer en Java.
3. Este stealer descarga y ejecuta un componente en .NET más sofisticado, que roba información
sensible del dispositivo.
4. Los datos son comprimidos y exfiltrados a un servidor remoto vía Discord.
Entre los datos robados se encuentran tokens y credenciales de Discord, Telegram y otras plataformas de
juego; archivos de configuración de lanzadores de Minecraft como Feather, Lunar y Essential; contraseñas
almacenadas en navegadores como Chrome, Edge y Firefox; carteras de criptomonedas; información sobre
VPNs utilizadas; así como capturas de pantalla, procesos activos en el sistema y el contenido del
portapapeles.
Esta investigación demuestra cómo una amenaza desarrollada en Java, en apariencia un simple mod para un
juego popular, puede evadir controles de seguridad y ejecutar un ataque de robo de datos en múltiples
fases. La comunidad de jugadores de Minecraft, que supera los 200 millones de usuarios activos mensuales,
se ha convertido en un vector de ataque atractivo para cibercriminales. Esta campaña refuerza la
importancia de la precaución al descargar mods de fuentes no verificadas.
“Recomendamos a la comunidad de jugadores y a las empresas que extremen las precauciones: descargando
únicamente mods desde fuentes oficiales y verificadas, desconfiando de aquellos que soliciten permisos
excesivos, manteniendo actualizadas sus soluciones de seguridad, e implementando políticas de control de
aplicaciones en sus dispositivos y entornos corporativos”, señala Eusebio Nieva, director técnico de Check
Point Software para España y Portugal.
Check Point Threat Emulation y Harmony Endpoint ofrecen cobertura avanzada frente a este tipo de
amenazas, detectando comportamientos sospechosos antes de su ejecución.
Sigue Check Point Research vía:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Acerca de Check Point Research
Check Point Research proporciona inteligencia sobre ciberamenazas a los clientes de Check Point Software y a la
comunidad de inteligencia. El equipo de investigación recopila y analiza datos de ciberataques globales almacenados en
ThreatCloud para mantener los ciberdelincuentes a raya, al tiempo que se asegura de que todos los productos de Check
Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas
e investigadores que cooperan con otros proveedores de seguridad, las fuerzas de seguridad y varios CERTs.
Sigue a Check Point Software a través de:
LinkedIn: https://www.linkedin.com/showcase/check-point-software-espana/
X: @CheckPointSpain
Facebook: https://www.facebook.com/checkpointsoftware
©2025 Check Point Software Technologies Ltd. All rights reserved | P. 3
Blog: https://blog.checkpoint.com/
YouTube: https://www.youtube.com/user/CPGlobal
Acerca de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. es un proveedor líder en soluciones de ciberseguridad en la nube basadas en IA
que protege a más de 100.000 empresas a nivel mundial. Check Point Software aprovecha el poder de la IA en todos los
ámbitos para mejorar la eficiencia y precisión de la ciberseguridad a través de su Plataforma Infinity, con tasas de
detección líderes en la industria que permiten una anticipación proactiva a las amenazas y tiempos de respuesta más
ágiles e inteligentes. La plataforma integral incluye soluciones cloud compuestas por Check Point Harmony para
proteger el entorno laboral, Check Point CloudGuard para asegurar la cloud, Check Point Quantum para proteger la red
y Check Point Infinity Core Services para operaciones y servicios de seguridad colaborativos.
©2025 Check Point Software Technologies Ltd. Todos los derechos reservados.
Aviso legal sobre declaraciones prospectivas
Este comunicado de prensa contiene declaraciones prospectivas. Las declaraciones prospectivas generalmente se
refieren a eventos futuros o a nuestro desempeño financiero u operativo futuro. Las declaraciones prospectivas
incluidas en este comunicado de prensa incluyen, pero no se limitan a, declaraciones relacionadas con nuestras
expectativas respecto al crecimiento futuro, la expansión del liderazgo de Check Point Software en la industria, la
mejora del valor para los accionistas y la entrega de una plataforma de ciberseguridad líder en la industria a clientes de
todo el mundo. Nuestras expectativas y creencias sobre estos temas pueden no materializarse, y los resultados o
eventos futuros están sujetos a riesgos e incertidumbres que podrían hacer que los resultados reales o los eventos
difieran significativamente de los proyectados.
Las declaraciones prospectivas contenidas en este comunicado de prensa también están sujetas a otros riesgos e
incertidumbres, incluyendo aquellos descritos con mayor detalle en nuestros archivos ante la Comisión de Bolsa y
Valores (SEC), incluyendo nuestro Informe Anual en el Formulario 20-F presentado ante la SEC el 2 de abril de 2024. Las
declaraciones prospectivas en este comunicado de prensa se basan en la información disponible para Check Point
Software a la fecha de este documento, y Check Point Software renuncia a cualquier obligación de actualizar cualquier
declaración prospectiva, salvo que lo exija la ley.
