La campaña del malware Gootloader ha reaparecido utilizando técnicas avanzadas de evasión para eludir análisis automatizados de seguridad. Este actor persistente dirige ataques desde hace más de cinco años mediante envenenamiento SEO con temáticas legales, distribuyendo archivos ZIP maliciosos que contienen cargas útiles en JScript para establecer accesos iniciales con miras a desplegar ransomware. Se destacan modificaciones técnicas recientes en el mecanismo de entrega y persistencia detectadas a inicios de noviembre de 2025.
Productos afectados
| Componente | Plataformas/SO |
|---|---|
| Archivos ZIP con carga JScript maliciosa | Windows |
| Mecanismo de persistencia vía accesos directos (*.LNK) | Windows |
Solución
Implementar detección avanzada de amenazas y análisis manual complementario para identificar los archivos ZIP manipulados y bloquear la ejecución de cargas JScript maliciosas.
Recomendaciones
Priorizar la actualización y hardening de sistemas de seguridad, así como el monitoreo activo del tráfico y accesos a sitios web potencialmente comprometidos; Windows: deshabilitar la ejecución automática de scripts y revisar accesos directos sospechosos en las carpetas de inicio.