Weedhack, c’est le nom d’une vaste campagne active depuis janvier 2026 et qui cible les joueurs de Minecraft. En 6 mois, plus de 116 000 machines ont été infectées par un logiciel malveillant mis à disposition sous la forme d’un Malware-as-a-service. Voici ce que l’on sait sur cette menace.

Une diffusion de masse via YouTube et l’empoisonnement SEO

Selon un rapport publié par les chercheurs en sécurité de McAfee, la campagne WeedHack s’appuie sur deux vecteurs principaux pour piéger les joueurs :

• Des vidéos YouTube : elles présentent des outils liés à Minecraft et des liens de téléchargements sont ensuite glissés dans la description ou les commentaires. Certaines de ces vidéos comptabilisent d’ailleurs plusieurs milliers de vues.
• Le SEO poisoning : des résultats sponsorisés ciblent des mots-clés spécifiques à l’univers de Minecraft, notamment pour certains outils et Mods (Meteor Client, Radium Client, Phobos, Aristois ou encore Gamesense).

Deux techniques classiques lorsqu’il s’agit de cibler les joueurs, mais cela continue de fonctionner en 2026.

Les chercheurs de McAfee expliquent que tout est fait pour rassurer l’utilisateur, y compris pour lui faire croire qu’il est sur un site web sécurisé. “Ce site web affiche un avertissement de sécurité (encadré en rouge) indiquant que les utilisateurs ne doivent télécharger « Skytils » qu’à partir de leur site, affirmant qu’il s’agit du site officiel et qu’aucun autre site web n’est affilié au projet.”, peut-on lire.

Cette campagne s’articule autour de deux chaînes YouTube et environ 240 URL distinctes sont utilisées pour distribuer les logiciels malveillants. Le nombre de fichiers JAR malveillants est encore plus important, avec 3 820 fichiers identifiés. Une infrastructure globale conséquente.

Weedhack : les logiciels malveillants distribués

La particularité de Weedhack, c’est qu’il est proposé sous la forme d’un Malware-as-a-Service hébergé sur le Web, et non sur le Dark Web. N’importe qui peut disposer d’un accès gratuit, ce qui est inhabituel pour une menace comme celle-ci. En effet, la version gratuite donne accès à un infostealer, c’est-à-dire un logiciel malveillant capable de voler des informations sensibles sur les machines des victimes.

Concrètement, lorsqu’une machine est infectée, le malware infostealer va cibler :

• Les identifiants de session Minecraft
• Les cookies et les mots de passe enregistrés sur 36 navigateurs différents
• Les données de 56 extensions et de 12 applications de portefeuilles de crypto-monnaies de bureau
• Les identifiants Discord, Steam et Telegram
• L’image de votre ordinateur via des captures d’écran

Les cybercriminels qui ont besoin de plus de fonctionnalités peuvent payer un abonnement. Ceci donne notamment accès à la prise de contrôle à distance (RAT) et aux périphériques connectés à l’ordinateur.

La campagne Weedhack est active : le groupe Telegram compte plus de 800 membres. Du côté des victimes, la télémétrie de McAfee révèle que 116 464 systèmes ont déjà été touchés, avec une moyenne de 2 000 à 3 000 nouvelles infections par jour.