网络安全研究团队Howler Cell近日公开一份技术解析报告，披露一起持续针对盗版软件用户的规模化网络攻击事件。攻击者通过篡改多款好玩的游戏的配置程序，在用户执行配置或启动经过时，悄然给其设备注入恶意代码。目前已确认遭篡改的游戏包括孤岛惊魂极品飞车FIFA及刺客信条等广为人知的作品。

该攻击自2025年4月起持续活跃，到现在已历时十个月，且感染规模呈显著上升动向。数据显示，平均每天新增受感染设备达数千台。

攻击链的核心组件名为RenEngine Loader，是一款高度伪装的恶意加载器。其文件名和图标均刻意模仿开源视觉小说引擎Ren'Py的合法启动器，借此绕过主流安全软件的自动识别机制。当用户运行被篡改的程序后，该加载器首先执行严格的运行环境探测，主动识别是否处于虚拟机、调试器或杀毒软件沙箱等解析环境中；若判定为真正用户环境，则继续推进后续攻击流程。

通过环境检测后，RenEngine Loader会解密并释放第二阶段载荷——HijackLoader。该组件采用进程替换、DLL侧加载等隐蔽技术，在体系中静默驻留并加载最终恶意模块。当前活动主题中部署的主载荷为ACR信息窃取程序，具备提取浏览器内保存的账号密码、会话Cookie、网银凭证、加密货币钱包密钥等高敏感数据的能力，并将全部窃得信息加密回传至攻击者控制的超距离服务器。

根据全球终端遥测数据集合，截至2026年2月9日，该攻击已波及逾40万终端设备，日均约5000台新设备接入攻击者构建的僵尸网络指挥节点。受影响区域遍及多个民族，其中印度、美国、巴西和俄罗斯的感染数量最为集中。

传播途径高度依赖盗版分发渠道，攻击者在提供破解游戏、免CD补丁或功能修改器的第三方网站中嵌入恶意配置包。由于整个攻击链采用模块化设计，并复用Ren'Py引擎的合法组件作为掩护，致使多数传统安全产品难以准确识别其恶意行为。

研究人员强调，用户应杜绝从非官方或不可信来源获取和运行任何软件配置程序。即使界面显示正常、签名看似完整，亦无法排除其已被植入隐蔽间谍逻辑的风险。安全防护的根本前提，始终在于严格管控软件来源和执行权限。