Tipografías con «sorpresa»: GootLoader finge ser un diseñador para ocultar un virus en el lugar más visible
Una nueva técnica de camuflaje engaña tanto a los escáneres como al ojo humano.
El cargador malicioso GootLoader, anteriormente vinculado a la distribución de ransomware, se ha reactivado — de ello informaron los especialistas de Huntress, que registraron tres nuevos casos de infección desde finales de octubre. En dos incidentes los atacantes lograron obtener el control de controladores de dominio en menos de un día tras la intrusión. Esta herramienta es empleada por el grupo cibernético Hive0127 (también conocida como UNC2565) y tradicionalmente se distribuye a través de sitios WordPress comprometidos, entre otras cosas gracias a técnicas de envenenamiento SEO.
Esta nueva ola de actividad destaca por un inusual método de camuflaje: ahora el malware inyecta en las páginas comprometidas una fuente personalizada WOFF2 con sustitución de caracteres, lo que permite ocultar los nombres reales de los archivos. Un usuario que copie el nombre del archivo ZIP o inspeccione el código de la página solo ve un conjunto de signos sin sentido. Sin embargo, en el navegador, gracias a la fuente incrustada, esos símbolos se representan visualmente como nombres comprensibles —por ejemplo, «Florida_HOA_Committee_Meeting_Guide.pdf». La codificación de la fuente se implementa mediante el mecanismo Z85, codificando 32 KB en 40 KB e incrustándose directamente en JavaScript.
El archivo ZIP que reciben las víctimas también se modifica: al analizarlo con utilidades populares como VirusTotal, módulos de Python o 7-Zip, se muestra como un documento de texto ordinario. No obstante, al extraerlo con el Explorador de Windows, en la carpeta aparece un archivo JavaScript completo que contiene el código malicioso principal. Esta evasión de los analizadores permite a los atacantes ganar tiempo y retrasar la detección de la amenaza.
El script despliega el módulo Supper —es una puerta trasera capaz de establecer conexiones mediante el protocolo SOCKS5 y proporcionar acceso remoto. En una de las intrusiones se registró una escalada de privilegios mediante la herramienta integrada Windows Remote Management: los atacantes crearon una cuenta de administrador y accedieron al controlador de dominio. Supper emplea un cifrado persistente y la generación dinámica de shellcode para ocultar su propósito, aunque realiza funciones relativamente simples centradas en el proxy y la gestión remota.
Microsoft ya había señalado que las infecciones de GootLoader a menudo constituyen la primera etapa en la cadena de ataques, tras la cual el control se transfiere a otro actor de la infraestructura delictiva —Storm-0494. Este, a su vez, emplea las utilidades Supper y AnyDesk, tras lo cual puede activarse el cifrador INC. Además, se menciona la relación de Supper con otro malware —Interlock RAT, en el que se apoya el cifrador Interlock. Puede existir solapamiento con las operaciones del grupo Vice Society.
Una característica destacada de la última campaña fue el uso de consultas clave como «missouri cover utility easement roadway» en Bing. Con ellas, las víctimas son redirigidas a sitios WordPress comprometidos donde se alojan archivos con contenido malicioso. A principios de 2025, una táctica similar se empleó también en ataques mediante anuncios de Google Ads, atrayendo a usuarios que buscaban plantillas de documentos jurídicos.