El malware conocido como GootLoader ha resurgido una vez más después de un breve aumento en la actividad a principios de marzo, según nuevos hallazgos de Huntress.
La compañía de ciberseguridad dijo que observó tres infecciones de GootLoader desde el 27 de octubre de 2025, de las cuales dos resultaron en intrusiones prácticas en el teclado y el compromiso del controlador de dominio tuvo lugar dentro de las 17 horas posteriores a la infección inicial.
«GootLoader ha vuelto y ahora aprovecha fuentes WOFF2 personalizadas con sustitución de glifos para ofuscar nombres de archivos», dijo la investigadora de seguridad Anna Pham, añadiendo que el malware «explota los puntos finales de comentarios de WordPress para entregar cargas útiles ZIP cifradas con XOR con claves únicas por archivo».
GootLoader, afiliado a un actor de amenazas identificado como Hive0127 (también conocido como UNC2565), es un cargador de malware basado en JavaScript que a menudo se distribuye mediante tácticas de envenenamiento de optimización de motores de búsqueda (SEO) para entregar cargas útiles adicionales, incluido ransomware.
En un informe publicado en septiembre pasado, Microsoft reveló que el actor de amenazas conocido como Vanilla Tempest recibe transferencias de infecciones de GootLoader por parte del actor de amenazas Storm-0494, aprovechando el acceso para abrir una puerta trasera llamada Supper (también conocida como SocksShell o ZAPCAT), así como AnyDesk para acceso remoto. Estas cadenas de ataques han llevado a la implementación del ransomware INC.
Vale la pena señalar que Supper también se ha agrupado junto con Interlock RAT (también conocido como NodeSnake), otro malware asociado principalmente con el ransomware Interlock. «Si bien no hay evidencia directa de que Interlock use Supper, tanto Interlock como Vice Society se han asociado con Rhysida en diferentes momentos, lo que sugiere posibles superposiciones en el ecosistema cibercriminal más amplio», señaló Foresecout el mes pasado.
Luego, a principios de este año, se descubrió que el actor de amenazas detrás de GootLoader había aprovechado Google Ads para dirigirse a víctimas que buscaban plantillas legales, como acuerdos, en motores de búsqueda para redirigirlas a sitios de WordPress comprometidos que alojan archivos ZIP con malware.
La última secuencia de ataque documentada por Huntress muestra que las búsquedas de términos como «carretera de servidumbre de servicios públicos de cobertura de Missouri» en Bing se están utilizando para dirigir a usuarios desprevenidos a entregar el archivo ZIP. Lo que es notable esta vez es el uso de una fuente web personalizada para ofuscar los nombres de archivos que se muestran en el navegador y así anular los métodos de análisis estáticos.
«Entonces, cuando el usuario intenta copiar el nombre del archivo o inspeccionar el código fuente, verá caracteres extraños como ‛›μI€vSO₽*’Oaμ==€‚‚33O%33‚€×:O(TM€v3cwv», explicó Pham.
«Sin embargo, cuando se muestran en el navegador de la víctima, estos mismos caracteres se transforman mágicamente en texto perfectamente legible como Florida_HOA_Committee_Meeting_Guide.pdf. Esto se logra a través de un archivo de fuente WOFF2 personalizado que Gootloader incrusta directamente en el código JavaScript de la página usando codificación Z85, una variante Base85 que comprime la fuente de 32 KB a 40 K».
También se observa un nuevo truco que modifica el archivo ZIP de manera que cuando se abre con herramientas como VirusTotal, las utilidades ZIP de Python o 7-Zip, se descomprime como un archivo .TXT de apariencia inofensiva. En el Explorador de archivos de Windows, el archivo extrae un archivo JavaScript válido, que es la carga útil prevista.
«Esta simple técnica de evasión le da tiempo al actor al ocultar la verdadera naturaleza de la carga útil del análisis automatizado», dijo sobre la evolución un investigador de seguridad, que durante mucho tiempo ha estado rastreando el malware bajo el seudónimo «GootLoader».
La carga útil de JavaScript presente en el archivo está diseñada para implementar Supper, una puerta trasera capaz de control remoto y proxy SOCKS5. En al menos un caso, se dice que los actores de amenazas utilizaron la administración remota de Windows (WinRM) para moverse lateralmente al controlador de dominio y crear un nuevo usuario con acceso de nivel de administrador.
«La puerta trasera Supper SOCKS5 utiliza una tediosa ofuscación que protege una funcionalidad simple: el martilleo de API, la construcción de shellcode en tiempo de ejecución y el cifrado personalizado añaden dolores de cabeza al análisis, pero las capacidades principales siguen siendo deliberadamente básicas: proxy SOCKS y acceso remoto al shell», dijo Huntress.
«Este enfoque ‘suficientemente bueno’ demuestra que los actores de amenazas no necesitan exploits de vanguardia cuando las herramientas básicas adecuadamente ofuscadas logran sus objetivos».