Los operadores del malware Gootloader han incorporado una técnica de ofuscación poco habitual que complica de forma significativa el trabajo de soluciones antivirus, sistemas de análisis automatizado y sandboxes. La nueva campaña distribuye el código malicioso dentro de archivos ZIP intencionadamente dañados, construidos a partir de cientos de archivos comprimidos, lo que provoca errores de descompresión y fallos en muchas herramientas de seguridad.
Gootloader y su nueva técnica con archivos ZIP dañados
Según el equipo de investigación de Expel, las campañas recientes de Gootloader entregan un archivo JScript empaquetado en un ZIP manipulado a nivel de estructura interna. El descompresor integrado de Windows es capaz de abrir el archivo sin problemas, pero utilidades ampliamente utilizadas como 7-Zip o WinRAR suelen fallar al extraerlo o muestran resultados inconsistentes, lo que afecta directamente a las capacidades de análisis automático.
La clave está en la manipulación de la estructura ZIP. Los atacantes “pegan” entre 500 y 1000 archivos ZIP en un único contenedor y añaden anomalías en los encabezados. Esto genera cientos de Local File Header repetidos y múltiples registros End Of Central Directory (EOCD). Para muchos motores de análisis de archivos, el resultado se interpreta como un ZIP corrupto o inconsistente, lo que bloquea el escaneo estático o impide que la sandbox llegue hasta el payload real.
Windows, sin embargo, implementa una lógica más tolerante para el formato ZIP y se centra en la “primera estructura válida” que encuentra, ignorando el resto de fragmentos. Gootloader explota esta diferencia: para el usuario y el sistema operativo el archivo funciona, pero para numerosas herramientas de análisis la muestra resulta ilegible, favoreciendo la evasión de controles.
Perfil de la amenaza Gootloader y su evolución reciente
Gootloader es un loader modular activo al menos desde 2020 y empleado por distintas bandas de ciberdelincuentes, incluidos operadores de ransomware. Su función principal es obtener persistencia en el sistema y descargar o ejecutar segundas fases: backdoors, infostealers o código de cifrado de datos.
Tras una pausa aproximada de siete meses, su actividad repuntó en noviembre de 2025, tal y como señalaron Huntress Labs y DFIR Report. En esas primeras muestras ya se observaban ZIP “rotos”, pero las alteraciones se limitaban sobre todo a discrepancias entre nombres de archivo y encabezados. Las variantes actuales muestran una arquitectura de archivo mucho más compleja, reforzando de forma notable las capacidades de evasión frente a antivirus y herramientas de análisis forense.
Cadena de infección: de JScript a PowerShell
Una vez que el usuario descomprime el ZIP en Windows, se ejecuta el archivo JScript mediante Windows Script Host (WScript) desde el directorio temporal del usuario. En este primer paso, Gootloader establece persistencia creando accesos directos LNK en la carpeta de inicio (Startup) que apuntan a un segundo script JScript. Esta técnica garantiza que el código malicioso se ejecute tanto en la primera ejecución como en cada reinicio posterior del sistema.
A continuación, el malware aplica técnicas adicionales de evasión. El payload lanza CScript utilizando nombres de archivo NTFS no estándar, lo que dificulta la correlación basada en rutas y patrones de nombres. Después se activa una cadena de ejecución en PowerShell, en la que un proceso de PowerShell genera otro proceso hijo, un patrón típico en ataques modernos diseñado para burlar reglas de comportamiento simples y controles que solo monitorizan procesos de primer nivel.
Detección de Gootloader mediante anomalías estructurales y reglas YARA
Paradójicamente, las mismas anomalías que entorpecen el análisis pueden convertirse en un indicador de compromiso muy fiable. Los investigadores de Expel han desarrollado una regla YARA centrada no en el contenido del ZIP, sino en sus características estructurales. Este enfoque resulta especialmente útil para la detección de malware en archivos ZIP de origen desconocido.
La firma YARA analiza la secuencia y combinación de encabezados internos, buscando volúmenes inusualmente altos de Local File Header y múltiples entradas EOCD, patrones característicos de los ZIP “pegados” empleados por Gootloader. Al operar a nivel de estructura, la detección se mantiene eficaz incluso cuando los atacantes cambian los nombres de archivo, el contenido del script JScript o aplican pequeñas modificaciones adicionales.
Recomendaciones de monitoreo para ZIP maliciosos
Para reforzar la seguridad, se recomienda que los equipos de ciberseguridad incorporen el análisis de anomalías estructurales en gateways de correo electrónico, proxys web y sandboxes. Identificar ZIP con volúmenes anómalos de encabezados o múltiples EOCD permite bloquear muestras potencialmente maliciosas antes de que lleguen al endpoint, añadiendo una capa de protección adicional a las firmas tradicionales.
Mitigar el abuso de JScript y Windows Script Host
Otro eje crítico de defensa es limitar el abuso de Windows Script Host, componente central en la cadena de infección de Gootloader. Una medida sencilla pero efectiva consiste en cambiar la asociación por defecto de los archivos .js y .jse para que se abran con Bloc de notas en lugar de WScript. De este modo, un doble clic sobre el script mostrará el texto en claro en lugar de ejecutarlo, reduciendo drásticamente el riesgo de ejecución accidental por parte del usuario.
En entornos donde JScript no sea necesario por motivos de negocio, es recomendable bloquear wscript.exe y cscript.exe para contenido descargado y en contextos de usuario estándar. Esto puede implementarse mediante Directivas de Grupo, AppLocker, Windows Defender Application Control u otras soluciones de control de aplicaciones. Además, conviene configurar alertas específicas para cadenas sospechosas del tipo: archivo comprimido → script → PowerShell, ya que representan un patrón recurrente en múltiples familias de malware.
Ante la evolución constante de amenazas como Gootloader, las organizaciones deben combinar detección basada en firmas con análisis de comportamiento y revisiones periódicas de su superficie de ataque relacionada con scripts. Integrar reglas centradas en anomalías de ZIP, restringir el uso de JScript, WSH y PowerShell donde no sean imprescindibles, y reforzar la concienciación de usuarios y administradores son pasos clave para reducir el riesgo de que loaders como Gootloader sirvan de puerta de entrada a campañas de ransomware y otras intrusiones de alto impacto.
