Des fonds d’écran animés distribués via le Steam Workshop ont été utilisés par les cybercriminels pour distribuer des logiciels malveillants sur des milliers de machines. Un rapport de Kaspersky daté du 16 juin 2026 évoque cette campagne basée sur l’application Wallpaper Engine.
Une fonctionnalité légitime transformée en vecteur d’infection
Parmi le catalogue de jeux et d’outils disponibles sur Steam, il y a Wallpaper Engine, une application permettant d’utiliser des fonds d’écran animés sur un ordinateur. Stylé, disons certains. Peut-être, sauf quand le fond d’écran est accompagné par un malware capable de voler vos identifiants.
Un nouveau rapport publié par Kaspersky révèle une campagne menée par l’intermédiaire du Steam Workshop. Directement intégrée à la plateforme de Valve, cette boutique en ligne permet de trouver, installer et gérer facilement du contenu communautaire. On y trouve des mods, des maps, des objets ou encore des fonds d’écran.
C’est ce dernier type de contenu qui est directement détourné par les pirates. Mais on ne parle pas de n’importe quel fond d’écran, on parle de fond d’écran applicatif que l’on peut activer sur un PC à l’aide de l’outil Wallpaper Engine (disponible dans la boutique Steam). Wallpaper Engine prend en charge plusieurs formats de wallpapers : vidéos, scènes interactives, pages web et applications.
Il autorise l’exécution de programmes directement sur la machine Windows de la victime (y compris des bibliothèques DLL), ce qui ouvre des possibilités très intéressantes pour les fonds d’écran. Pour les attaquants aussi, et c’est ce qui s’est passé. Kaspersky a identifié des dizaines de packages piégés disponibles via le Steam Workshop, dont certains affichaient des milliers, voire des dizaines de milliers de téléchargements !
Les chercheurs ont observé deux méthodes principales pour infecter les machines :
Des fichiers exécutables (EXE), des bibliothèques (DLL) et des scripts malveillants directement intégrés au package du fond d’écran.
Des malwares dissimulés dans des archives protégées par mot de passe, ce mot de passe étant lui-même placé dans le nom de l’archive ou dans des fichiers de configuration, afin que les scripts puissent automatiquement extraire la charge utile.
Dans les deux cas, une fois le fond d’écran installé, le malware s’exécute sur Windows.
Quels sont les malwares distribués via Steam Workshop ?
Tout d’abord, il faut savoir que les fonds d’écran sont fonctionnels : l’activité malveillante est déclenchée en arrière-plan. Le premier malware détecté se nomme DarkKomet, une porte dérobée. Elle installait une bibliothèque modifiée pour cibler les utilisateurs de Steam : elle collectait les informations de compte et détournait les sessions Steam actives, ce qui permet de prendre le contrôle du compte.
Ce n’est pas tout. Selon Kaspersky, on retrouve notamment les infostealers Lumma et Vidar ainsi que le loader RenEngine, mais aussi des mineurs de cryptomonnaies et des ransomwares. Un vrai champ de mines.
“Ces attaques ont probablement été menées par plusieurs acteurs malveillants indépendants plutôt que par un seul groupe, et ne se sont pas limitées à une seule famille de logiciels malveillants”, précisent les chercheurs de Kaspersky dans leur rapport.
Du côté des victimes, les utilisateurs situés en Chine et en Russie ont été les plus visés, d’autres victimes ayant été repérées à Singapour, à Hong Kong, en Allemagne, au Vietnam, en Inde et au Canada. La Chine concentrerait à elle seule 89 % des tentatives de téléchargement malveillant détectées.
Moralité : n’installez pas de fonds d’écran animés.
Cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Mon obsession depuis près de 15 ans ? Rendre l’administration système et la cybersécurité accessibles, que vous soyez junior ou confirmé. Plus qu’un métier, l’IT est pour moi une véritable passion. J’accompagne au quotidien les sysadmins et les professionnels de l’IT dans leur montée en compétences et leur veille technique.