كشف تقرير بحثي من كاسبرسكي (Securelist) بتاريخ 16 يونيو عن استمرار نشر خلفيات ضارة على منصة ورشة عمل Wallpaper Engine في Steam منذ أواخر عام 2025، وتم العثور على عشرات العينات المصابة، بتحميل كل منها يتراوح بين آلاف وعشرات الآلاف من المرات. وقد قام فريق Steam بإزالة الخلفيات الضارة المؤكدة من المنصة. يستغل المهاجمون ميزة “خلفيات التطبيقات” في Wallpaper Engine — وهي خلفيات عبارة عن برامج Windows مستقلة التشغيل، يدمج المهاجمون فيها تعليمات برمجية ضارة، وتنفذ هذه الحمولة بصمت تلقائياً بعد تثبيتها من قبل المستخدم، دون التأثير على عرض الخلفية العادي. تشمل الحمولات الرئيسية المكتشفة باباً خلفياً من نوع DarkKomet، وبرامج سرقة المعلومات Lumma وVidar، ومُحمِّل RenEngine، بالإضافة إلى برامج الفدية وبرامج تعدين العملات الرقمية؛ ومن بين العينات المتخفية كألعاب سطح مكتب صغيرة، بعد تشغيل الخلفية، يتم إطلاق ملف Synaptics.exe (من عائلة DarkKomet) في الخلفية، مع استبدال ملف DLL للنظام AggregatorHost.dll لاختطاف جلسة Steam النشطة للمستخدم، ثم إعادة إرسال بيانات اعتماد الحساب إلى خادم المهاجم، واستخدام الحسابات المسروقة لمواصلة تحميل المزيد من الخلفيات الضارة.
من حيث التوزيع الجغرافي للضحايا، من بين طلبات التحميل الخبيثة التي تم حظرها بواسطة أنظمة كاسبرسكي، جاءت 89% من الصين، وروسيا في المرتبة الثانية بنسبة 5.5%، تليها سنغافورة (1.4%)، وهونغ كونغ (0.9%)، وألمانيا (0.9%)، وفيتنام (0.9%). تم تصميم الأنماط الفنية وعناوين الخلفيات خصيصاً للمستخدمين الصينيين، وبناءً على ذلك، يعتقد الباحثون أن الحملة تستهدف حالياً المستخدمين الصينيين بشكل أساسي، لكنهم يعتقدون أن المهاجمين يمكنهم في أي وقت نسخ نفس الأسلوب إلى مناطق أخرى. ونظراً للتنوع الكبير للأدوات الضارة المستخدمة، يعتقد الباحثون أن الأمر لا يقتصر على جماعة اختراق واحدة، بل عدة مجموعات مستقلة تستخدم نفس القناة في الوقت نفسه لنشر البرامج الضارة. توصي كاسبرسكي بإجراء فحص مضاد للفيروسات على أي خلفية من ورشة عمل Wallpaper Engine قبل تطبيقها، وعدم الاعتماد كلياً على آلية مراجعة المنصة.