カスペルスキー・セキュリティラボ(Securelist)は6月16日、調査報告書を発表し、2025年末以降、SteamプラットフォームのWallpaper Engineワークショップで悪意のある壁紙が継続的に公開されていることを明らかにした。すでに数十種類の感染サンプルが発見されており、それぞれ数千から数万のダウンロード数を記録。現在、Steamチームは確認された悪意のある壁紙をプラットフォームから削除した。攻撃者はWallpaper Engineの「アプリケーション型壁紙」機能を悪用している。この種の壁紙は本質的に独立して実行可能なWindowsプログラムであり、攻撃者はその中に悪意のあるコードを埋め込み、ユーザーがインストールするとペイロードが自動かつ静かに実行され、壁紙の通常の表示にはまったく影響を与えない。発見された主なペイロードには、DarkKometバックドア、LummaおよびVidar情報窃取プログラム、RenEngineローダー、ランサムウェア、暗号通貨マイナーが含まれる。一例として、デスクトップミニゲームを装ったサンプルでは、壁紙実行後にバックグラウンドでSynaptics.exe(DarkKometファミリー)が解放され、同時にシステムDLLのAggregatorHost.dllが置き換えられ、ユーザーのアクティブなSteamセッションが乗っ取られる。その後、アカウント資格情報が攻撃者のサーバーに送信され、盗まれたアカウントを利用してさらに多くの悪意のある壁紙がアップロードされ続ける。
被害者の地理的分布に関して、カスペルスキーのシステムがブロックした悪意のあるダウンロードリクエストのうち、89%が中国からのもので、ロシアが5.5%で2位、以下シンガポール(1.4%)、香港(0.9%)、ドイツ(0.9%)、ベトナム(0.9%)と続く。壁紙のアートスタイルとタイトルはすべて中国のユーザー向けにカスタマイズされており、研究者はこれに基づいて現在主に中国のユーザーを標的にしていると判断しているが、攻撃者はいつでも同様の手法を他の地域に複製できると考えている。使用されている悪意のあるツールが高度に分散していることから、研究者は単一のハッカーグループによるものではなく、複数の独立したグループが同時に同じチャネルを利用して拡散させていると推測している。カスペルスキーは、Wallpaper Engineワークショップの壁紙を適用する前に、まずウイルス対策スキャンを実行し、プラットフォームの審査メカニズムに完全に依存すべきではないと推奨している。