Hace tiempo que el nombre GootLoader ronda los incidentes de malware más persistentes: no es un ransomware por sí mismo, sino un cargador —un loader— que se especializa en abrir la puerta para amenazas más peligrosas. En las últimas investigaciones se ha observado que sus operadores han refinado sus trucos para salirse con la suya frente a detectores automáticos y herramientas de análisis habituales. En lugar de confiar solo en ofuscación de código, están explotando las peculiaridades del formato ZIP y del ecosistema Windows para garantizar que la víctima final pueda ejecutar la carga maliciosa, mientras que los sistemas de defensa quedan confundidos.
La técnica más llamativa reportada por la firma de seguridad Expel consiste en crear archivos ZIP intencionadamente “malformados”. En lugar de un archivo ZIP estándar, los atacantes concatenan cientos —entre 500 y 1.000— de subarchivos y manipulan campos del catálogo central y otros metadatos para provocar errores en descompresores habituales como 7-Zip o WinRAR. Sin embargo, curiosamente, el extractor integrado en Windows suele ser capaz de abrir esos archivos. El resultado es perverso: la mayoría de herramientas de análisis automático no pueden procesar el ZIP, pero un usuario desprevenido que haga doble clic en él en un equipo Windows sí puede acceder a su contenido y ejecutar el malware.
Para comprender por qué ese truco funciona hay que mirar dos aspectos técnicos. Primero, los atacantes truncarán o alterarán el registro conocido como End of Central Directory (EOCD) del ZIP, una sección esencial para que los descompresores sepan dónde termina y cómo está estructurado el archivo —puedes leer más sobre ese registro en la documentación del formato ZIP en Wikipedia. Segundo, se manipulan campos no críticos, como números de disco, y se introducen variaciones aleatorias en metadatos. Estas variaciones impiden que las firmas de archivos (hashes) sean útiles: cada descarga produce una versión única del ZIP, una técnica que los investigadores describen como “hashbusting”.
Además, los autores de GootLoader han combinado ese enfoque con otras capas de evasión. Parte de la entrega del archivo ZIP puede venir como un blob codificado por XOR que, en el navegador de la víctima, se decodifica y se va concatenando hasta alcanzar un tamaño predefinido; así se evita que los controles de seguridad de red detecten directamente una transmisión de un ZIP. En campañas recientes se han añadido también fuentes WOFF2 personalizadas que alteran la representación de nombres de archivo para camuflar su propósito, y mecanismos que abusan del endpoint de comentarios de WordPress ("/wp-comments-post.php") para devolver el archivo cuando el usuario pulsa un botón de “Descargar” en una página comprometida.
El engranaje de la infección es sencillo y efectivo: el usuario busca una plantilla legal o un documento —metodo clásico de SEO poisoning y malvertising— y acaba en una web comprometida que ofrece un ZIP. Al abrirlo en Windows mediante el descompresor predeterminado, el contenido aparece como una carpeta ZIP en el Explorador de archivos; si el usuario hace doble clic en un archivo JavaScript dentro del ZIP, Windows ejecuta ese script a través de wscript.exe directamente desde una carpeta temporal, sin que el archivo haya sido extraído explícitamente a disco. A partir de ahí el loader establece persistencia —por ejemplo creando accesos directos (LNK) en la carpeta de inicio— y lanza un segundo script mediante cscript.exe que, posteriormente, invoca comandos de PowerShell para descargar y ejecutar cargas útiles adicionales, como ladrones de información o ransomware.
Este modo de operar subraya una regla antigua pero válida: las amenazas modernas combinan ingeniería social con detalles muy técnicos. Una única característica curiosa de la cadena de ataque —aprovechar que el extractor de Windows abre un ZIP que otras herramientas no pueden— hace que muchas medidas automatizadas de análisis pasen de largo. Es por eso que los equipos de seguridad deben pensar tanto en cómo se entregan los ficheros como en qué ocurre cuando un usuario interactúa con ellos en el endpoint.
¿Qué medidas prácticas pueden ayudar a reducir el riesgo? Desde el lado corporativo se recomiendan controles para limitar la ejecución automática de scripts: bloquear o restringir la ejecución de wscript.exe y cscript.exe si no son necesarios para operaciones legítimas, y aplicar políticas que cambien la forma en que el sistema trata las extensiones .js para que se abran en un editor de texto en lugar de ejecutarse. Microsoft documenta opciones de configuración de asociaciones de archivos y políticas de sistema que permiten gestionar cómo se abren tipos concretos mediante directivas centralizadas (documentación de Microsoft sobre asociaciones predeterminadas), y herramientas como AppLocker o Windows Defender Application Control pueden emplearse para impedir la ejecución no autorizada de intérpretes de scripts (guía de AppLocker).
Tampoco hay que descuidar la superficie que facilita la entrega: muchas de estas campañas dependen de sitios WordPress comprometidos o de páginas manipuladas por SEO. Mantener CMS y plugins actualizados, revisar los puntos de entrada de formularios y comentarios, y vigilar redirecciones y recursos externos sospechosos son medidas que reducen la probabilidad de que una víctima llegue al ZIP malicioso. A nivel de red, controles que inspeccionen transferencias inusuales o patrones de codificación y la protección de endpoints con capacidades de comportamiento que no dependan solo de firmas pueden detectar la conducta maliciosa cuando un script intenta ejecutar comandos o persistir en el sistema.
La historia de GootLoader también es una lección sobre por qué la seguridad no puede apoyarse únicamente en hashes o en reglas estáticas: la combinación de archivos únicos por descarga y empaquetado malformado hace que la búsqueda de un hash conocido sea ineficaz. Por eso la detección debe incorporar análisis dinámico, reputación del origen y controles en el endpoint que eviten la ejecución automática de contenido potencialmente peligroso. Expel, que publicó el análisis detallado, ofrece más contexto técnico sobre cómo se construyen estos ZIP malformados y por qué son problemáticos para muchos unarchivers (informe de Expel).
Al final, la defensa es una mezcla de buena higiene digital, configuración estricta del entorno y formación a usuarios: enseñar a desconfiar de descargas desde resultados no verificados, comprobar la legitimidad de los sitios que ofrecen plantillas legales y, en entornos corporativos, aplicar políticas que impidan la ejecución silenciosa de scripts. Los atacantes seguirán buscando fisuras técnicas y humanas; la respuesta debe ser tan técnica como humana, combinando protecciones en la red y en el endpoint con capacitación y procedimientos que minimicen la probabilidad de interacción peligrosa.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...