O Kaspersky Security Lab (Securelist) publicou um relatório de pesquisa em 16 de junho, revelando que desde o final de 2025 alguém vem publicando papéis de parede maliciosos continuamente na Wallpaper Engine Workshop da plataforma Steam. Dezenas de amostras infectadas foram descobertas, cada uma com milhares a dezenas de milhares de downloads. Atualmente, a equipe do Steam removeu os papéis de parede maliciosos confirmados da plataforma. Os atacantes exploram o recurso de “papel de parede do tipo aplicativo” do Wallpaper Engine — tais papéis de parede são essencialmente programas Windows executáveis de forma independente, nos quais os atacantes incorporam código malicioso. Após a instalação pelo usuário, a carga é executada silenciosamente em segundo plano, sem afetar a exibição normal do papel de parede. As principais cargas descobertas incluem o backdoor DarkKomet, os stealers de informações Lumma e Vidar, o loader RenEngine, além de ransomware e miners de criptomoedas. Tomando como exemplo uma amostra disfarçada de minijogo de desktop, após a execução do papel de parede, ele libera o arquivo Synaptics.exe (família DarkKomet) em segundo plano, ao mesmo tempo que substitui a DLL do sistema AggregatorHost.dll para sequestrar a sessão ativa do Steam do usuário. Em seguida, as credenciais da conta são enviadas de volta ao servidor do atacante, que utiliza as contas roubadas para continuar enviando mais papéis de parede maliciosos.
Em relação à distribuição geográfica das vítimas, entre as solicitações de download malicioso bloqueadas pelo sistema Kaspersky, 89% vieram da China. A Rússia ficou em segundo lugar com 5,5%, seguida por Singapura (1,4%), Hong Kong (0,9%), Alemanha (0,9%) e Vietnã (0,9%). O estilo artístico e os títulos dos papéis de parede foram personalizados para usuários chineses. Com base nisso, os pesquisadores concluíram que o alvo principal atual são os usuários chineses, mas acreditam que os atacantes podem replicar o mesmo método em outras regiões a qualquer momento. Devido à alta dispersão das ferramentas maliciosas em uso, os pesquisadores inferem que não se trata do trabalho de uma única organização hacker, mas sim de vários grupos independentes utilizando simultaneamente o mesmo canal para disseminação. A Kaspersky recomenda realizar uma varredura antivírus em qualquer papel de parede da Wallpaper Engine Workshop antes de aplicá-lo, não devendo confiar inteiramente no mecanismo de revisão da plataforma.