In april 2026 is een nieuwe malwarecampagne ontdekt die zich richt op spelers van hentai-spellen. Bij het opstarten van deze geïnfecteerde spellen wordt een tot dan onbekende kwaadaardige implantaat op het systeem van de gebruiker geïnstalleerd. Na enkele dagen downloadt en activeert dit implantaat een Trojan, wat leidt tot volledige overname van het systeem en uitgebreide mogelijkheden voor externe controle door de aanvallers. Deze malwarefamilie is door Kaspersky gedoopt tot "Argamal".

De malware maakt gebruik van COM-hijacking om persistentie te waarborgen, waarbij de InprocServer32-registratie-invoer van de Windows Color System Calibration Loader DLL wordt vervangen. Dit proces wordt geactiveerd bij het inloggen van de gebruiker, waardoor de malware automatisch bij het opstarten draait. Kaspersky detecteert deze dreiging onder verschillende namen, waaronder Trojan.Win32.Termixia.*, Trojan.Win32.Agent.*, HEUR:Trojan.Win32.Argamal.gen en HEUR:Trojan-Downloader.Win32.Argamal.gen.

De kwaadaardige DLL-bestanden zijn sinds ten minste 2024 aanwezig en worden verspreid via diverse hentai-spellen die met verschillende game-engines zijn ontwikkeld, zoals RenPy (Python) en RPG Maker MV (JavaScript). De distributie vindt plaats via speciale websites met screenshots en downloadlinks die doorverwijzen naar PixelDrain, een gratis bestandsoverdrachtservice. Daarnaast worden de geïnfecteerde spellen ook via torrenttrackers, waaronder AniRena, verspreid.

De verspreide archieven bevatten zowel legitieme spelbestanden als een aangepaste FFmpeg DLL die een functie importeert uit een bestand genaamd natives2_blob.bin. Dit bestand voert een Base64-gecodeerd PowerShell-script uit dat eerst controleert op sandbox-omgevingen. Als de omgeving niet gecontroleerd blijkt, stelt het script persistentie in via het aanpassen van het register en het aanmaken van een geplande taak die na drie dagen een tweede PowerShell-script uitvoert. Dit tweede script downloadt een versleutelde payload van GitHub, die wordt ontsleuteld en als DLL-bestand wordt opgeslagen en geladen, waarmee de volledige controle over het systeem wordt gerealiseerd.