De malware die bekend staat als GootLoader is opnieuw opgedoken na een korte piek in activiteit eerder deze maand, volgens nieuwe bevindingen van Huntress.
Het cyberbeveiligingsbedrijf zei dat het sinds 27 oktober 2025 drie GootLoader-infecties heeft waargenomen, waarvan er twee resulteerden in hands-on toetsenbordinbraken waarbij de domeincontroller werd gecompromitteerd binnen 17 uur na de eerste infectie.
“GootLoader is terug en maakt nu gebruik van aangepaste WOFF2-lettertypen met glyph-vervanging om bestandsnamen te verdoezelen”, zei beveiligingsonderzoeker Anna Pham, terwijl ze de malware toevoegt “maakt gebruik van WordPress-commentaareindpunten om XOR-gecodeerde ZIP-payloads te leveren met unieke sleutels per bestand.”
GootLoader, verbonden aan een bedreigingsacteur die wordt gevolgd als Hive0127 (ook bekend als UNC2565), is een op JavaScript gebaseerde malware-lader die vaak wordt verspreid via vergiftigingstactieken voor zoekmachineoptimalisatie (SEO) om extra ladingen te leveren, waaronder ransomware.
In een rapport dat afgelopen september werd gepubliceerd, onthulde Microsoft dat de bedreigingsacteur die Vanilla Tempest wordt genoemd, overdrachten ontvangt van GootLoader-infecties door de bedreigingsacteur Storm-0494, waarbij gebruik wordt gemaakt van de toegang om een achterdeur genaamd Supper (ook bekend als SocksShell of ZAPCAT) te laten vallen, evenals AnyDesk voor externe toegang. Deze aanvalsketens hebben geleid tot de inzet van INC-ransomware.
Het is vermeldenswaard dat Supper ook is gegroepeerd met Interlock RAT (ook bekend als NodeSnake), een andere malware die voornamelijk wordt geassocieerd met Interlock-ransomware. “Hoewel er geen direct bewijs is dat Interlock Supper gebruikt, zijn zowel Interlock als Vice Society op verschillende momenten in verband gebracht met Rhysida, wat duidt op mogelijke overlappingen in het bredere cybercriminele ecosysteem”, merkte Forescout vorige maand op.
Vervolgens bleek eerder dit jaar dat de dreigingsactor achter GootLoader Google Ads had gebruikt om slachtoffers te targeten die op zoek waren naar juridische sjablonen, zoals overeenkomsten, op zoekmachines om hen door te sturen naar gecompromitteerde WordPress-sites die met malware gevulde ZIP-archieven hosten.
Uit de laatste door Huntress gedocumenteerde aanvalsreeks blijkt dat zoekopdrachten naar termen als “missouri cover utility erfdienstbaarheid rijweg” op Bing worden gebruikt om nietsvermoedende gebruikers ertoe aan te zetten het ZIP-archief af te leveren. Wat deze keer opvalt is het gebruik van een aangepast weblettertype om de bestandsnamen die in de browser worden weergegeven te verdoezelen en zo statische analysemethoden te omzeilen.
“Dus wanneer de gebruiker probeert de bestandsnaam te kopiëren of de broncode te inspecteren, zullen ze rare tekens zien zoals ‛›μI€vSO₽*’Oaμ==€‚‚33O%33‚€×:O(TM€v3cwv,” legt Pham uit.
“Wanneer ze echter in de browser van het slachtoffer worden weergegeven, transformeren deze zelfde karakters op magische wijze in perfect leesbare tekst zoals Florida_HOA_Committee_Meeting_Guide.pdf. Dit wordt bereikt door een aangepast WOFF2-lettertypebestand dat Gootloader rechtstreeks in de JavaScript-code van de pagina insluit met behulp van Z85-codering, een Base85-variant die het lettertype van 32 KB comprimeert tot 40 KB.”
Er is ook een nieuwe truc waargenomen die het ZIP-bestand zodanig wijzigt dat het, wanneer het wordt geopend met tools als VirusTotal, de ZIP-hulpprogramma’s van Python of 7-Zip, wordt uitgepakt als een ongevaarlijk ogend .TXT-bestand. In Windows File Explorer extraheert het archief een geldig JavaScript-bestand, wat de beoogde payload is.
“Deze eenvoudige ontwijkingstechniek koopt de acteur tijd door de ware aard van de lading te verbergen voor geautomatiseerde analyse”, zei een beveiligingsonderzoeker, die de malware al lang volgt onder het pseudoniem “GootLoader”, over de evolutie.
De JavaScript-payload die in het archief aanwezig is, is ontworpen om Supper in te zetten, een achterdeur die op afstand kan worden bediend en SOCKS5-proxying. In ten minste één geval zouden de bedreigingsactoren Windows Remote Management (WinRM) hebben gebruikt om lateraal naar de domeincontroller te gaan en een nieuwe gebruiker met toegang op beheerdersniveau te creëren.
“De Supper SOCKS5-achterdeur maakt gebruik van vervelende verduistering om eenvoudige functionaliteit te beschermen – API-hamering, runtime shellcode-constructie en aangepaste encryptie voegen analysehoofdpijn toe, maar de kernmogelijkheden blijven opzettelijk basaal: SOCKS-proxying en shell-toegang op afstand”, aldus Huntress.
“Deze ‘goed genoeg’-benadering bewijst dat dreigingsactoren geen geavanceerde exploits nodig hebben wanneer goed verhulde brood-en-boterinstrumenten hun doelstellingen bereiken.”
