Gigabytes de vacío: cómo los ciberdelincuentes esconden virus en archivos gigantes y burlan a los antivirus
El viejo truco funcionó de nuevo donde los defensores esperaban un camuflaje complejo.
A veces la forma más sencilla de ocultar un programa malicioso no se basa en una compleja camuflaje, sino en un exceso de "peso", y precisamente ese recurso utiliza GoFlateLoader, un cargador en Golang para la entrega de infostealers Lumma, Vidar, StealC, Amatera, Remus y otros malware.
GoFlateLoader en sí no parece técnicamente complejo. El código no incluye protección contra depuración, comprobaciones de máquinas virtuales, ofuscación de llamadas a la API ni un encubrimiento complicado de la lógica. El cargador actúa de forma directa: toma el componente malicioso codificado de la sección .rdata, lo descifra en varias etapas, reconstruye el archivo PE ejecutable y lo ejecuta directamente en memoria.
La táctica principal de GoFlateLoader está relacionada con un enorme overlay de PE, un bloque de datos adicional al final del archivo ejecutable. Las muestras suelen inflarse hasta 700–950 MB, con frecuencia mediante bytes nulos y, a veces, por basura aleatoria. En el archivo comprimido dicho fichero se reduce mucho, por lo que a los atacantes les resulta práctico distribuirlo, y las herramientas de protección y los entornos de análisis automáticos pueden no analizar el archivo en profundidad debido a los límites de tamaño.
Los especialistas de Gen Threat Labs relacionan la distribución de GoFlateLoader con paquetes de programas pirateados y con un sistema malicioso de redirección de tráfico, que Check Point Research investigó anteriormente. Ese sistema conduce a las víctimas a páginas con archivos comprimidos protegidos por contraseña, y la contraseña se muestra por separado. Los escáneres automáticos sin la contraseña no siempre pueden extraer ni verificar el contenido.
Tras su ejecución, GoFlateLoader coloca manualmente el archivo PE malicioso en memoria y transfiere el control mediante syscall.Syscall, usando argumentos ficticios 1, 2, 3 y 4. Ese patrón resulta inusual y puede ayudar a su detección, especialmente junto con otros indicios: un gran overlay, el almacenamiento de la carga codificada en .rdata y la característica secuencia de carga manual del PE.
Desde abril de 2026, Gen Threat Labs, según sus propios datos, ha protegido a más de 33.000 usuarios únicos contra GoFlateLoader. La mayor cantidad de casos se observó en Brasil, India, Argentina, México, Turquía y España.
Para reducir el riesgo, los especialistas aconsejan limitar estrictamente la instalación de software pirateado, bloquear las páginas conocidas de TDS maliciosos y configurar los entornos de análisis para que procesen archivos comprimidos grandes y archivos protegidos por contraseña cuando la contraseña figure en la página de descarga.