Risultato critico
Steam mente spudoratamente, copre i criminali e ostacola le indagini.
Introduzione: Un reato di negligenza premeditata
Nell’agosto del 2025, Steam, la più grande piattaforma di videogiochi al mondo, non solo ha subito una violazione della sicurezza, ma l’ha anche provocata attivamente. A causa di una serie di errori sistemici e di grave negligenza, Valve ha permesso che il gioco BlockBlasters (AppID 3872350) per trasformarsi in un cavallo di Troia al servizio di una devastante campagna di malware. Non si è trattato di un attacco sofisticato e inevitabile. È stata un’operazione di furto di dati da manuale, riuscita proprio perché la sicurezza di Steam è fondamentalmente compromessa. Per 22 giorni, ha sottratto centinaia di migliaia di dollari, svuotato portafogli di criptovalute e compromesso gli account degli utenti, mentre Valve non ha fatto nulla.
Quando la verità è venuta a galla, la reazione di Valve non è stata quella di proteggere i propri utenti, ma di salvaguardare la propria immagine. L’azienda ha rilasciato un unico comunicato ingannevole, attribuendo la colpa a un “account sviluppatore compromesso” — una patetica menzogna volta a scaricare la responsabilità e a proteggersi da eventuali conseguenze. Questo articolo smonterà tale menzogna. Avvalendoci di dati forensi, analisi cronologica e delle stesse politiche di Valve, dimostreremo che questo incidente non è stato solo un’omissione, ma un insabbiamento deliberato di negligenza criminale.

Identità allo scoperto
Steam mente spudoratamente e nasconde Valentin Lopes, lo sviluppatore verificato che sta dietro all'applicazione dannosa.
I 22 giorni di inazione
Valve aveva 22 giorni per porre fine a questa situazione. Le segnalazioni degli utenti si susseguivano e i dati della piattaforma mostravano chiari segnali di problemi. Il loro silenzio è stata una scelta.
BlockBlasters viene lanciato. Una versione pulita e legittima viene approvata dal processo di verifica di Steam.
La trappola è pronta. Gli hacker rilasciano la patch build 19799326. Questo aggiornamento, che contiene il payload del malware, viene approvato da Steam e distribuito a tutti i giocatori.
Le prime vittime lanciano l'allarme. Gli utenti inondano l'assistenza di Steam di segnalazioni in cui denunciano un utilizzo anomalo della CPU, traffico di rete sospetto e, cosa ancora più grave, il furto di criptovaluta. Queste segnalazioni finiscono in un buco nero, ignorate da Valve.
I dati lanciano un chiaro segnale di allarme. I dati telemetrici pubblici di SteamDB mostrano che il numero di giocatori è crollato a una cifra, eppure il gioco rimane installato su centinaia di computer, dove continua a sottrarre dati in modo silenzioso. Questa enorme discrepanza è un campanello d'allarme che qualsiasi sistema di monitoraggio competente avrebbe dovuto rilevare.
La comunità entra in azione. Alcuni ricercatori indipendenti nel campo della sicurezza smascherano l'infrastruttura di comando e controllo del malware basata su Telegram, costringendo gli hacker a scoprire le loro carte.
Le prove sono innegabili. G DATA CyberDefense AG pubblica un rapporto forense completo che conferma il vettore di attacco in più fasi del malware e svela i dettagli tecnici della violazione.
L'anatomia dell'attacco
Non si trattava di un malware all’avanguardia. Era un mix rudimentale ma efficace di script comuni e programmi di furto di dati che una piattaforma da miliardi di dollari avrebbe dovuto individuare senza alcuna difficoltà.
Fase 1: Compromissione iniziale (game2.bat)
Il payload iniziale, un semplice script batch, ha eseguito un'attività di ricognizione di base: raccolta di indirizzi IP, dati di geolocalizzazione e informazioni sugli utenti di Steam. Ha poi scaricato un file ZIP protetto da password (v1.zip) — una tecnica classica per aggirare gli scanner automatici più semplici.
Fase 2: Evasione e escalation (VBS Loaders)
Utilizzando script VBS, il malware eseguiva i propri componenti principali in finestre di comando nascoste. Aggiungeva la propria directory all'elenco delle esclusioni di Microsoft Defender, un'azione che dovrebbe attivare un avviso immediato e ad alta priorità su qualsiasi sistema monitorato.
Fase 3: Furto di dati (Client-built2.exe e Block1.exe)
Una volta disattivate le difese, il malware ha distribuito i suoi payload principali: una backdoor basata su Python per garantire un accesso persistente e una variante dello stealer StealC. Ha preso di mira i dati dei browser, i token di sessione e, soprattutto, i portafogli di criptovalute su Chrome, Edge e Brave. Tutti i dati rubati sono stati convogliati verso due server di comando e controllo tramite traffico HTTP non protetto. Gli IOC relativi al drainer di criptovalute hanno confermato che Steam è stato utilizzato come vettore di distribuzione del malware per operazioni di furto organizzate.
Fiducia tradita
Sono stati proprio la fiducia riposta in loro e la loro negligenza a causare decine di furti che hanno cercato di insabbiare. Si tratta di un attacco alla catena di approvvigionamento da manuale, che sfrutta su larga scala la fiducia riposta nella piattaforma.
Indicatori di compromissione (IOC)
| File | SHA256 | Classificazione |
|---|---|---|
game2.bat | aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3
|
BAT.Trojan-Stealer.StimBlaster.F |
launch1.vbs | c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3
|
Script.Malware.BatchRunner.A@IOC |
test.vbs | b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b
|
Script.Malware.BatchRunner.A@IOC |
Client-built2.exe | 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a
|
Win64.Backdoor.StimBlaster.L6WGC3 |
Block1.exe | 59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9e | Win32.Trojan-Stealer.StealC.RSZPXF |
Smascherare la menzogna: la storia dell’«account hackerato» è una vera e propria farsa
Lo scandalo è stato smascherato
Steam nasconde la verità e aiuta le vittime, mentre la loro azienda controlla gli sviluppatori e assegna il massimo certificato di affidabilità ai loro contenuti.
Chiamiamo la scusa di Valve sullo “sviluppatore vittima di un attacco hacker” con il suo vero nome: una bugia patetica e facilmente smentibile. È un insulto all’intelligenza dei propri utenti, una versione dei fatti architettata per proteggerli dalle conseguenze della loro stessa negligenza. Tutta questa fantasia crolla nel momento stesso in cui si esaminano le procedure obbligatorie previste da Steam.
- Il “muro dei 100 dollari” e la verifica dell’identità: Per pubblicare su Steam, ogni sviluppatore deve passare attraverso il programma Steam Direct. Ciò comporta il pagamento di una quota di 100 dollari e il completamento di una procedura di verifica dell’identità del cliente (KYC), fornendo nomi legali, coordinate bancarie e documenti fiscali. L’autore del reato non era un fantasma anonimo; Valve aveva in archivio la sua identità verificata e i suoi dati finanziari. Ciò rende la sua inazione una scelta consapevole volta a proteggere un partner verificato a scapito dei propri utenti.
- Il mito dei 22 giorni di blackout: Steamworks mette a disposizione degli sviluppatori strumenti affidabili per proteggere i propri account. Uno sviluppatore legittimo che abbia perso il controllo potrebbe aprire un ticket per “perdita di accesso alle credenziali dell’editore”. Questa procedura è pensata per essere rapida, bloccando i diritti di pubblicazione e le build nel giro di poche ore, non settimane. L’idea che uno sviluppatore possa rimanere escluso per oltre 20 giorni mentre il suo gioco distribuisce malware è assurda. Ciò implica uno dei due scenari seguenti, entrambi a carico di Valve: o lo sviluppatore era complice, oppure Valve ha ignorato i suoi frenetici ticket di assistenza, oltre alle decine di reclami degli utenti.
- Ignoranza sistematica dei reclami degli utenti: Decine di utenti hanno presentato segnalazioni dettagliate relative a furti finanziari, attività di malware e compromissione degli account. Non si trattava di reclami vaghi, bensì di informazioni utili per intervenire. Un sistema di assistenza competente avrebbe segnalato questi casi, avrebbe escalato il problema e avrebbe bloccato la pagina dell’app in attesa di indagini entro 24 ore. Il fatto che Valve non l’abbia fatto per 22 giorni non è una svista; è una politica di ignoranza volontaria.
L'inganno fondamentale: manomissione di una scena del crimine digitale
È qui che l’insabbiamento da parte di Valve passa dalla semplice negligenza a ciò che può essere descritto solo come manomissione di una scena del crimine digitale. Chiariamo questo punto senza ombra di dubbio: Valve non ha rimosso il gioco infetto.
Le prove forensi e le analisi condotte dai ricercatori di sicurezza che hanno monitorato l’infrastruttura C2 lo confermano in modo inequivocabile: sono stati gli stessi criminali a cancellare le loro build dannose dai server di Steam. Lo hanno fatto il 21 settembre, solo dopo che il loro gruppo di controllo su Telegram era stato reso pubblico. Hanno messo in atto una strategia di “terra bruciata”, distruggendo le prove per coprire le loro tracce.

L'affermazione di Valve secondo cui avrebbe preso provvedimenti è una palese menzogna. Aspettando che gli autori dell'attacco cancellassero le proprie tracce prima di intervenire per rimuovere la pagina dello store, Valve ha di fatto permesso che le prove principali venissero distrutte. Non si è trattato di un'azione volta a limitare i danni, ma di ostruzione alla giustizia. Non stavano proteggendo gli utenti, ma stavano proteggendo se stessi assicurandosi che la scena del crimine fosse ripulita.
Il costo umano dell'indifferenza delle aziende
La negligenza di Valve ha avuto conseguenze concrete, per le quali l'azienda non si è assunta alcuna responsabilità.
- Rovina finanziaria: Sono stati rubati oltre 150.000 dollari USA (sembra che la cifra superi il milione di dollari USA). Per molti, si trattava di una somma in grado di cambiare la vita. Uno streamer ha perso 32.000 dollari durante una diretta di beneficenza a favore della lotta contro il cancro.
- Tradimento della fiducia: Centinaia di utenti hanno subito la violazione dei propri account, il furto dei propri dati e l'infezione dei propri sistemi.
- Silenzio assoluto: Ad oggi, Valve non ha offerto alcun rimborso, alcun risarcimento né scuse sincere. La loro risposta standard è stata un insulto per ogni vittima.
Il movente: il profitto prima delle persone
Perché Valve dovrebbe permettere che ciò accada? Il motivo è tanto semplice quanto cinico: era più economico.
Una vera e propria revisione della sicurezza — che preveda l’implementazione di test in ambiente sandbox per tutte le build, la separazione delle credenziali degli sviluppatori, l’assunzione di un team di sicurezza competente e la pubblicazione di rapporti di trasparenza — costerebbe milioni. Il risarcimento delle vittime costituirebbe un precedente oneroso.
L'alternativa? Rilasciare una dichiarazione vaga e fuorviante, lasciare che l'attenzione dei media si spostasse altrove e limitare al minimo il danno d'immagine. Si è trattato di una decisione aziendale ponderata, in cui la sicurezza degli utenti è stata considerata una perdita accettabile.
Questo modello di negligenza non è una novità. Da PirateFi (2024) a Chemia (2025), Valve ha ripetutamente ignorato gli avvertimenti e permesso l’ingresso di malware sulla propria piattaforma, intervenendo solo in seguito alle proteste dell’opinione pubblica. BlockBlasters non è stato un caso isolato; è stato il risultato inevitabile di una cultura della sicurezza marcia.
Verdetto finale: colpevole dei capi d'accusa
Lasciamo che siano i fatti a parlare da soli.
- Fatto: I sistemi automatizzati di Valve hanno approvato una build contenente un malware di lieve entità.
- Fatto: Il team di assistenza di Valve ha ignorato per tre settimane gli avvertimenti diretti delle vittime.
- Fatto: Valve è intervenuta solo dopo che gli stessi hacker avevano rimosso i file dannosi.
- Fatto: La dichiarazione ufficiale di Valve costituiva una deliberata travisazione dei fatti, volta a eludere le proprie responsabilità.
Valve non si è limitata a fallire. Ha mentito. Ha insabbiato la propria negligenza, ha tutelato i propri profitti e ha lasciato che fossero gli utenti a pagarne le conseguenze. La fiducia che la comunità riponeva in Steam è stata irrimediabilmente compromessa. Non si è trattato di un errore, ma di un tradimento.




