El malware conocido como GootLoader ha resurgido una vez más posteriormente de un breve aumento en la actividad a principios de marzo, según nuevos hallazgos de Huntress.
La compañía de ciberseguridad dijo que observó tres infecciones de GootLoader desde el 27 de octubre de 2025, de las cuales dos resultaron en intrusiones prácticas en el teclado y el compromiso del compensador de dominio tuvo lado interiormente de las 17 horas posteriores a la infección original.
“GootLoader ha vuelto y ahora aprovecha fuentes WOFF2 personalizadas con sustitución de glifos para ofuscar nombres de archivos”, dijo la investigadora de seguridad Anna Pham, añadiendo que el malware “explota los puntos finales de comentarios de WordPress para entregar cargas efectos ZIP cifradas con XOR con claves únicas por archivo”.
GootLoader, afiliado a un actor de amenazas identificado como Hive0127 (todavía conocido como UNC2565), es un cargador de malware basado en JavaScript que a menudo se distribuye mediante tácticas de envenenamiento de optimización de motores de búsqueda (SEO) para entregar cargas efectos adicionales, incluido ransomware.
En un crónica publicado en septiembre pasado, Microsoft reveló que el actor de amenazas conocido como Vanilla Tempest recibe transferencias de infecciones de GootLoader por parte del actor de amenazas Storm-0494, aprovechando el acercamiento para desplegar una puerta trasera señal Supper (todavía conocida como SocksShell o ZAPCAT), así como AnyDesk para acercamiento remoto. Estas cadenas de ataques han llevado a la implementación del ransomware INC.
Vale la pena señalar que Supper todavía se ha agrupado próximo con Interlock RAT (todavía conocido como NodeSnake), otro malware asociado principalmente con el ransomware Interlock. “Si proporcionadamente no hay evidencia directa de que Interlock use Supper, tanto Interlock como Vice Society se han asociado con Rhysida en diferentes momentos, lo que sugiere posibles superposiciones en el ecosistema cibercriminal más amplio”, señaló Forescout el mes pasado.
Luego, a principios de este año, se descubrió que el actor de amenazas detrás de GootLoader había explotado Google Ads para dirigirse a víctimas que buscaban plantillas legales, como acuerdos, en motores de búsqueda para redirigirlas a sitios de WordPress comprometidos que alojan archivos ZIP con malware.
La última secuencia de ataque documentada por Huntress muestra que las búsquedas de términos como “carretera de servidumbre de servicios públicos de cobertura de Missouri” en Bing se están utilizando para dirigir a usuarios desprevenidos a entregar el archivo ZIP. Lo que es trascendental esta vez es el uso de una fuente web personalizada para ofuscar los nombres de archivos que se muestran en el navegador y así anular los métodos de examen estáticos.
“Entonces, cuando el heredero intenta copiar el nombre del archivo o inspeccionar el código fuente, verá caracteres extraños como ‛›μI€vSO₽*’Oaμ==€‚‚33O%33‚€×:O(TM€v3cwv”, explicó Pham.
“Sin incautación, cuando se muestran en el navegador de la víctima, estos mismos caracteres se transforman mágicamente en texto perfectamente comprensible como Florida_HOA_Committee_Meeting_Guide.pdf. Esto se logra a través de un archivo de fuente WOFF2 personalizado que Gootloader incrusta directamente en el código JavaScript de la página usando codificación Z85, una transformación Base85 que comprime la fuente de 32 KB a 40 K”.
Igualmente se observa un nuevo truco que modifica el archivo ZIP de guisa que cuando se abre con herramientas como VirusTotal, las utilidades ZIP de Python o 7-Zip, se descomprime como un archivo .TXT de apariencia inofensiva. En el Explorador de archivos de Windows, el archivo extrae un archivo JavaScript válido, que es la carga útil prevista.
“Esta simple técnica de entretenimiento le da tiempo al actor al ocultar la verdadera naturaleza de la carga útil del examen automatizado”, dijo sobre la progreso un investigador de seguridad, que durante mucho tiempo ha estado rastreando el malware bajo el seudónimo “GootLoader”.
La carga útil de JavaScript presente en el archivo está diseñada para implementar Supper, una puerta trasera capaz de control remoto y proxy SOCKS5. En al menos un caso, se dice que los actores de amenazas utilizaron la dependencia remota de Windows (WinRM) para moverse lateralmente al compensador de dominio y crear un nuevo heredero con acercamiento de nivel de administrador.
“La puerta trasera Supper SOCKS5 utiliza una tediosa ofuscación que protege una funcionalidad simple: el martilleo de API, la construcción de shellcode en tiempo de ejecución y el secreto personalizado añaden dolores de individuo al examen, pero las capacidades principales siguen siendo deliberadamente básicas: proxy SOCKS y acercamiento remoto al shell”, dijo Huntress.
“Este enfoque ‘suficientemente bueno’ demuestra que los actores de amenazas no necesitan exploits de vanguardia cuando las herramientas básicas adecuadamente ofuscadas logran sus objetivos”.
