Los investigadores de ciberseguridad han revelado detalles de una nueva campaña que ha utilizado sitios de distribución de software descifrados como vector de distribución para una nueva versión de un cargador modular y sigiloso conocido como CountLoader.
La campaña «utiliza CountLoader como la herramienta inicial en un ataque de varias etapas para el acceso, la evasión y la entrega de familias de malware adicionales», dijo el equipo de Inteligencia de Amenazas de Howler Cell de Cyderes dijo en un análisis.
CountLoader fue anteriormente documentadas de Fortinet y Silent Push, en el que se detalla la capacidad del cargador para empujar cargas útiles como Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer y PureMiner. La cargadora ha sido detectada en estado salvaje al menos desde junio de 2025.
La última cadena de ataques comienza cuando usuarios desprevenidos intentan descargar versiones descifradas de software legítimo, como Microsoft Word, lo que hace que sean redirigidos a un enlace de MediaFire que aloja un archivo ZIP malicioso, que contiene un archivo ZIP cifrado y un documento de Microsoft Word con la contraseña para abrir el segundo archivo.
En el archivo ZIP hay un intérprete de Python legítimo renombrado (» Setup.exe «) que se ha configurado para ejecutar un comando malintencionado para recuperar CountLoader 3.2 de un servidor remoto mediante «mshta.exe».
Para establecer la persistencia, el malware crea una tarea programada que imita a Google mediante el nombre «GoogleTaskSystem136.0.7023.12" junto con una cadena similar a un identificador. Está configurado para ejecutarse cada 30 minutos durante 10 años mediante la invocación de "mshta.exe" con un dominio alternativo.
También comprueba si la herramienta de seguridad Falcon de CrowdStrike está instalada en el host consultando la lista de antivirus a través del Instrumento de administración de Windows (WMI). <URL>Si se detecta el servicio, el comando de persistencia se modifica a "cmd.exe /c start /b mshta.exe». De lo contrario, se dirige directamente a la URL mediante «mshta.exe».
CountLoader está equipado para perfilar el host comprometido y obtener la carga útil de la siguiente etapa. La versión más reciente del malware añade la capacidad de propagarse a través de unidades USB extraíbles y ejecutar el malware directamente en la memoria a través de "mshta.exe" o PowerShell. La lista completa de funciones compatibles es la siguiente:
- Descargar un archivo ejecutable desde una URL proporcionada y ejecutarlo
- Descarga un archivo ZIP desde una URL proporcionada y ejecuta un módulo basado en Python o un archivo EXE presente en él
- Descargue una DLL desde una URL proporcionada y ejecútela a través de "rundll32.exe»
- Descargue un paquete de instalación de MSI e instálelo
- Eliminar una tarea programada utilizada por el cargador
- Recopile y extraiga amplia información del sistema
- Se propagan a través de medios extraíbles mediante la creación de atajos maliciosos (LNK) junto a sus homólogos originales ocultos que, cuando se inician, ejecutan el archivo original y ejecutan el malware a través de "mshta.exe" con un parámetro C2
- Ejecute directamente "mshta.exe" en una URL proporcionada
- Ejecute una carga útil remota de PowerShell en la memoria
En la cadena de ataque observada por Cyderes, la última carga útil desplegada por el CountLoader es un ladrón de información conocido como ACR Stealer , que está equipado para recopilar datos confidenciales de huéspedes infectados.
«Esta campaña destaca la evolución continua y el aumento de la sofisticación de CountLoader, lo que refuerza la necesidad de una detección proactiva y estrategias de defensa por capas», afirma Cyderes. «Su capacidad para ofrecer ACR Stealer mediante un proceso de varias etapas, desde la manipulación de las bibliotecas de Python hasta el desempaquetado del código shell en memoria, pone de manifiesto una tendencia creciente de uso indebido de binarios firmados y tácticas de ejecución sin archivos».
YouTube Ghost Network ofrece GachiLoader
La revelación se produce cuando Check Point reveló detalles de un nuevo cargador de malware JavaScript muy ofuscado denominado GachiLoader que está escrito en Node.js. El malware se distribuye por medio del Red fantasma de YouTube , una red de cuentas de YouTube comprometidas que se dedican a la distribución de malware.
«Una variante de GachiLoader implementa un malware de segunda fase, Kidkadi, que implementa una técnica novedosa para la inyección de ejecutables portátiles (PE)», dijeron los investigadores de seguridad Sven Rath y Jaromír Hořejší dijo . «Esta técnica carga una DLL legítima y abusa Gestión de excepciones vectorizadas para sustituirla sobre la marcha por una carga maliciosa».
Se han marcado hasta 100 vídeos de YouTube como parte de la campaña, que han acumulado aproximadamente 220 000 visitas. Estos vídeos se subieron desde 39 cuentas comprometidas, y el primer vídeo data del 22 de diciembre de 2024. Desde entonces, Google ha eliminado la mayoría de estos vídeos.
En al menos un caso, GachiLoader ha servido de conducto para el malware robador de información Rhadamanthys. Al igual que otros sistemas de carga, GachiLoader se utiliza para enviar cargas útiles adicionales a una máquina infectada y, al mismo tiempo, realizar una serie de comprobaciones antianálisis para pasar desapercibido.
También comprueba si se ejecuta en un contexto elevado mediante la ejecución del comando «net session». En caso de que la ejecución falle, intenta iniciarse por sí misma con privilegios de administrador, lo que, a su vez, activa un control de cuentas de usuario ( UAC ) rápido. Hay muchas posibilidades de que la víctima permita que continúe, ya que es probable que el malware se distribuya a través de instaladores falsos de software popular, como se describe en el caso de CountLoader.
En la última fase, el malware intenta matar "SecHealthUI.exe», un proceso asociado con Microsoft Defender y configura las exclusiones de Defender para evitar que la solución de seguridad marque las cargas maliciosas almacenadas en determinadas carpetas (por ejemplo, C:\Users\, C:\ProgramData\ y C:\Windows\).
Luego, GachiLoader procede a buscar directamente la carga final de una URL remota o a emplear otro cargador llamado «kidkadi.node», que luego carga el malware principal abusando de Gestión de excepciones vectorizadas .
«El actor de amenazas detrás de GachiLoader demostró su dominio del funcionamiento interno de Windows y creó una nueva variante de una técnica conocida», afirma Check Point. «Esto pone de manifiesto la necesidad de que los investigadores de seguridad se mantengan al día con las técnicas de malware, como las inyecciones de polietileno, y busquen de forma proactiva nuevas formas en las que los autores del malware traten de evadir la detección».