WeedHack : plus de 116 000 joueurs Minecraft infectés par de faux mods

Depuis plusieurs années, les mods Minecraft sont régulièrement utilisés comme appât dans des campagnes de piratage. Le principe est souvent le même : un joueur cherche un client, un mod ou un outil censé améliorer son expérience de jeu, tombe sur une vidéo ou un site qui semble crédible, puis télécharge un fichier piégé.

La dernière campagne signalée par McAfee Labs s’appelle WeedHack. Publiée le 2 juin 2026, l’enquête évoque une opération active depuis janvier 2026, avec plus de 116 000 systèmes infectés et environ 2 000 à 3 000 nouvelles victimes par jour. Le malware se cache derrière de faux mods, clients et outils Minecraft, diffusés via YouTube et des sites conçus pour apparaître dans les résultats de recherche.

Ce n’est pas la première fois que Minecraft est visé par ce type d’attaque. En 2025, nous avions déjà relayé une campagne où plus de 1 500 joueurs avaient été infectés après avoir installé de faux mods sur GitHub. WeedHack montre toutefois un changement d’échelle, avec un service de piratage structuré, très accessible, et pensé pour être utilisé même par des personnes sans compétences techniques avancées.

Un malware vendu comme un service

WeedHack n’est pas seulement un fichier malveillant isolé. Il s’agit d’un Malware-as-a-Service, c’est-à-dire une plateforme qui met à disposition des outils de piratage sous forme d’abonnement. Selon McAfee, ce service proposait une formule gratuite accessible avec un simple compte Discord, tandis qu’une version payante démarrait autour de 5 dollars par mois.

La différence avec d’autres outils du même genre tient surtout à son accessibilité. Là où certains malwares comparables nécessitent un accès à des réseaux fermés ou des abonnements coûteux, WeedHack était disponible sur le web classique, avec des tutoriels, un tableau de bord, un classement et même un système de suggestions. L’objectif était clair : permettre à n’importe quel utilisateur de générer et diffuser des fichiers infectés liés à Minecraft.

D’après les éléments publiés, la campagne aurait généré 116 464 infections au moment de sa révélation publique. McAfee indique également avoir identifié plus de 3 820 fichiers JAR malveillants et plus de 240 URL utilisées pour diffuser le malware.

YouTube et Google utilisés pour piéger les joueurs

WeedHack se diffuse principalement par deux canaux : les fausses vidéos YouTube et les sites frauduleux bien positionnés dans les moteurs de recherche.

Dans le premier cas, des vidéos présentent des mods, clients ou outils Minecraft comme s’il s’agissait de contenus légitimes. Certaines vidéos sont suffisamment soignées pour paraître crédibles : démonstration en jeu, voix off, description détaillée, commentaires rassurants, lien de téléchargement mis en avant. McAfee indique avoir repéré au moins une vidéo dépassant les 7 500 vues avant d’être signalée.

Dans le second cas, les attaquants utilisent une méthode appelée SEO poisoning. Des sites imitent des pages de mods ou de clients Minecraft connus afin de remonter dans les résultats de recherche. Les noms cités dans les rapports incluent notamment Meteor, LiquidBounce, Wurst, Radium, Impact ou encore Future Client.

Le piège repose sur une habitude très courante : chercher rapidement un mod ou un client sur Google, cliquer sur l’un des premiers résultats, puis télécharger le fichier sans vérifier s’il provient réellement du développeur.

Une infection en plusieurs étapes

Une fois exécuté, WeedHack agit en silence. Le fichier se lance sans forcément afficher de fenêtre visible, puis contacte un serveur de commande pour recevoir des instructions. L’une des particularités techniques relevées est l’usage d’une adresse cachée via la blockchain Ethereum, une méthode qui complique le blocage ou la suppression de l’infrastructure de commande.

L’infection se déroule ensuite en plusieurs phases. Le malware tente d’abord de désactiver certaines protections de Windows Defender, collecte des informations sur l’ordinateur, puis prend une capture d’écran. Il installe aussi des mécanismes de persistance pour redémarrer automatiquement avec la machine.

Dans les versions les plus complètes, WeedHack ajoute ensuite des composants de contrôle à distance. Cela permet à l’attaquant d’accéder à l’écran, aux fichiers et, dans certains cas, à la webcam de la victime.

Ce que WeedHack peut voler

La version gratuite de WeedHack est déjà dangereuse. Elle peut récupérer des mots de passe enregistrés, des cookies de navigateur, des identifiants Discord, Steam et Telegram, des données liées aux portefeuilles crypto, ainsi que des informations sur la machine infectée. Elle peut aussi voler des ID de session Minecraft, ce qui peut permettre de prendre le contrôle d’un compte sans connaître son mot de passe.

Le rapport mentionne également la collecte de données depuis 36 navigateurs, ainsi que la recherche de portefeuilles crypto et de fichiers correspondant à certains mots-clés.

La version payante ajoute des fonctions plus intrusives : accès webcam, partage d’écran avec contrôle clavier-souris, keylogger, accès en ligne de commande, envoi et téléchargement de fichiers. En pratique, cela peut permettre à l’attaquant de surveiller l’activité de la victime, de récupérer des documents ou de manipuler l’ordinateur à distance.

Une campagne aussi utilisée pour harceler

L’un des points les plus inquiétants concerne l’usage réel du malware. McAfee explique avoir observé le canal Telegram lié à WeedHack, qui comptait plus de 850 membres au moment de l’enquête. Les chercheurs y ont vu des utilisateurs, apparemment souvent jeunes, employer les outils de contrôle à distance non seulement pour voler des comptes, mais aussi pour harceler d’autres joueurs.

Des victimes auraient été enregistrées à leur insu via leur webcam, puis les vidéos auraient été partagées sur le canal Telegram comme des trophées. Le canal en question a depuis été supprimé, mais McAfee indique que les opérateurs de la campagne continuent de déployer de nouveaux domaines lorsque les anciens sont signalés.

Cette dimension change la nature du risque. WeedHack ne concerne pas seulement le vol de mots de passe ou de comptes Minecraft. Il peut aussi servir à intimider, menacer ou humilier des joueurs, notamment des mineurs.

Pourquoi Minecraft est souvent visé

Minecraft reste une cible attractive pour ce type d’attaque parce que son écosystème de mods est vaste, très populaire et parfois difficile à comprendre pour les plus jeunes joueurs. Les fichiers .jar sont normaux dans l’univers Java, mais ils peuvent aussi exécuter du code malveillant. Pour un joueur peu attentif, la frontière entre un vrai mod et un fichier piégé n’est pas toujours évidente.

Les attaquants exploitent aussi des recherches très fréquentes : clients PvP, mods de performance, cheats, launchers alternatifs, packs ou outils présentés comme indispensables. Ce sont des contenus qui circulent souvent via YouTube, Discord, des forums ou des sites non officiels.

Le cas WeedHack rappelle donc une règle simple : le danger ne vient pas de Minecraft lui-même, mais des fichiers téléchargés en dehors des plateformes fiables.

Comment éviter les faux mods Minecraft

Pour limiter les risques, il faut privilégier les sources connues : Modrinth ou encore CurseForge. Sur Minecraft-France, nous fournissons toujours en priorité ces liens pour les mods. Un lien trouvé dans une description YouTube, un commentaire ou un serveur Discord inconnu doit être traité avec prudence.

Un autre signal d’alerte est la demande de désactiver l’antivirus. Un mod Minecraft légitime n’a pas besoin de contourner Windows Defender pour fonctionner. Si un site affirme que l’alerte est un “faux positif” sans preuve claire, il vaut mieux ne pas lancer le fichier.

Il faut aussi se méfier des sites qui reprennent le nom d’un client connu tout en utilisant une adresse différente de celle du projet officiel. Certains faux sites ajoutent de fausses mentions de sécurité, des liens Discord ou des références à GitHub pour paraître sérieux.

Que faire si un fichier suspect a été lancé ?

Si un joueur pense avoir lancé un faux mod, il faut agir rapidement. La première étape consiste à déconnecter les comptes sensibles depuis un appareil sain, puis à changer les mots de passe importants : Microsoft, Discord, Steam, messagerie, comptes liés à des moyens de paiement et plateformes de jeu.

Il est aussi recommandé de révoquer les sessions actives quand le service le permet, d’activer l’authentification à deux facteurs, puis d’analyser l’ordinateur avec un antivirus à jour. En cas de chantage, de menace ou d’exploitation d’images webcam, il ne faut pas répondre à l’attaquant ni négocier. Il faut conserver les preuves et prévenir un adulte de confiance ou les autorités compétentes.

Pour les parents, le plus utile reste souvent de vérifier les habitudes de téléchargement : d’où viennent les mods, quels sites sont utilisés, et pourquoi un fichier demande à être exécuté en dehors d’une plateforme connue.

Une nouvelle alerte pour la communauté Minecraft

WeedHack montre à quel point les faux mods Minecraft peuvent devenir des outils de piratage accessibles à grande échelle. Le nombre d’infections, la présence d’un tableau de bord, le prix très bas de la version payante et les usages liés au harcèlement en font une campagne particulièrement préoccupante.

Le réflexe à adopter reste le même : télécharger les mods uniquement depuis des sources fiables, vérifier les liens officiels et ne jamais désactiver une protection de sécurité pour installer un fichier lié à Minecraft. Ce conseil paraît simple, mais il reste aujourd’hui l’un des moyens les plus efficaces d’éviter ce type d’infection.