Kaspersky'nin ortaya çıkardığı kampanyada saldırganlar, meşru görünümlü masaüstü duvar kağıtları aracılığıyla zararlı yazılım dağıtmak için Steam Workshop ve Wallpaper Engine'i istismar ediyor. Tespit edilen enfekte paketlerinin birçoğu on binlerce kez indirilmiş olup, öncelikli olarak Çin ve Rusya'daki Steam kullanıcılarını hedef alırken, Singapur, Hong Kong, Almanya, Vietnam, Hindistan ve Kanada'da da mağdurlar belirlendi.
Saldırganlar zararlı yükleri iletmek için iki temel yöntem kullanıyor. Bazı durumlarda kötü amaçlı çalıştırılabilir dosyalar, DLL'ler ve betikler doğrudan duvar kağıdı paketine dahil ediliyor; diğer vakalarda ise zararlı yazılımlar şifreli arşiv dosyalarının içine gizlenerek şifreler arşiv adlarına veya yapılandırma dosyalarına gömülüyor. Duvar kağıdı yüklendiği anda, arka plandaki zararlı içerikler otomatik olarak faaliyete geçiyor.
Örneğin, Aralık 2025'te tespit edilen bir örnek, görünüşte normal çalışırken arka planda DarkKomet arka kapısını sisteme yerleştiriyor ve Steam hesap bilgilerini toplayıp aktif oturumları ele geçirmeye tasarlanmış değiştirilmiş bir kütüphane yüklüyor. Kaspersky, farklı vakalarda Lumma ve Vidar bilgi hırsızı yazılımlarının yanı sıra RenEngine yükleyicisinin de dağıtıldığını ortaya çıkardı. Kampanyanın tek bir tehdit aktörü yerine birden fazla bağımsız grup tarafından gerçekleştirildiği değerlendiriliyor.
