Gootloader wraca do gry: nowe sztuczki, szybka eskalacja i ścieżka do ransomware

Wprowadzenie do problemu / definicja luki

Gootloader to złośliwy loader oparty na JavaScript, wykorzystywany przede wszystkim do pozyskiwania wstępnego dostępu (IAB) i dalszego dostarczania ładunków – od backdoorów po ransomware. Po okresie wyciszenia znów jest aktywny i łączy SEO poisoning/malvertising z hostowaniem artefaktów na zhakowanych stronach (często WordPress), przekonując ofiary do pobrania archiwum ZIP z plikiem .js. Najnowsza fala przynosi świeże techniki ukrywania i bardzo szybkie tempo eskalacji w sieci ofiary.

W skrócie

• Po ~7-miesięcznej przerwie operatorzy Gootloadera wrócili z nową kampanią podszywającą się pod szablony dokumentów prawnych (NDA, umowy).
• Widzimy customowy font WOFF2 z podmianą glifów do zaciemniania nazw plików w źródle strony oraz nietypowe/malformowane ZIP-y, które różnie rozpakowują się w zależności od narzędzia.
• Po infekcji atakujący potrafią skompromitować kontroler domeny w ~17 godzin – okno detekcji jest bardzo wąskie.
• W łańcuchu nadużyć obserwowany jest backdoor Supper (SOCKS5) oraz powiązania ze Storm-0494 → Vanilla Tempest (Rhysida) jako etapami post-eksploatacyjnymi.

Kontekst / historia / powiązania

Gootloader (rodzina Gootkit) jest opisywany od co najmniej 2020 r. i znany z SEO poisoning oraz dostarczania m.in. Cobalt Strike czy ransomware (SunCrypt/REvil w starszych falach). W 2022–2024 analizy branżowe dokumentowały fileless wykonanie przez PowerShell, zadania Harmonogramu i dystrybucję przez spreparowane fora/strony z „szablonami”. Obecny powrót wpisuje się w model access-as-a-service – loader sprzedaje/przekazuje dostęp afiliantom ransomware.

Analiza techniczna / szczegóły luki

Nowe elementy obserwowane (Q4 2025):

• WOFF2 + podmiana glifów: na stronie ofiary w źródle widnieją „śmieciowe” ciągi znaków, ale po renderowaniu font zamienia je na czytelne nazwy (np. Florida_HOA_…pdf). To omija proste skanowanie stringów i utrudnia analizę statyczną. Font bywa osadzony w JS (Z85/Base85), a nie przez typową tabelę mapowania.
• Dostawa przez WordPress /wp-comments-post.php: klik w przycisk „Download” wysyła POST z parametrem identyfikującym treść i zwraca XOR-szyfrowany ZIP; różne payloady mają własne klucze wyliczane z nazwy pliku.
• Malformowane archiwa ZIP: ten sam ZIP może rozpakować złośliwy .js w Eksploratorze Windows, ale „niewinny” plik tekstowy w 7-Zip/Python/VirusTotal – zabieg anty-analizowy i anty-automat.
• Utrwalenie (persistence): zamiast wyłącznie zadań harmonogramu obserwuje się skróty LNK w katalogu Startup i odwołania w stylu 8.3 short filenames (np. EMCCON1.JS).
• Tempo operacyjne: rozpoznanie w ~20 min, później enumeracja AD (Kerberoasting, SPN), ruch boczny (WinRM), tworzenie kont DA i przygotowania do ransomware (cienie VSS) – DC bywa przejmowany w <17 h.
• Łańcuch afiliantów: infekcje Gootloader → Supper SOCKS5 → aktywność Vanilla Tempest/Rhysida (różne rodziny ransomware w historii afilianta).

Praktyczne konsekwencje / ryzyko

• Bardzo krótki czas reakcji: od kliknięcia do przyczółka w AD mijają godziny, nie dni. Zespoły SOC muszą mieć gotowe detekcje behawioralne na wczesne oznaki (nietypowy PowerShell, enumeracja AD, WinRM, tworzenie kont DA).
• Zwiększone ryzyko phishingu „wyszukiwarkowego”: użytkownicy szukający dokumentów prawnych/szablonów to grupa wysokiego ryzyka.
• Ewazja skanerów: WOFF2-glify i ZIP-tricki obniżają skuteczność automatycznego Triage/sandboxów, co wymusza telemetrię EDR/XDR i korelację zdarzeń.

Rekomendacje operacyjne / co zrobić teraz

Prewencja i kontrola treści

1. Blokady kategorii: filtrowanie zapytań/stron z „free templates”, „NDA template”, „legal agreement download” itp.; egzekwuj pobieranie wzorów wyłącznie ze zweryfikowanych źródeł firmowych.
2. Twarde reguły dla archiwów/JS: blokuj wykonywanie .js/.jse z archiwów użytkownika; wymuszaj rozpakowywanie ZIP-ów w kontrolowanym narzędziu z inspekcją zawartości.

Telemetria i detekcje
3. EDR/XDR: alerty na nietypowy PowerShell z łańcuchami enkodowanych poleceń, tworzenie LNK w Startup, użycie ścieżek 8.3, świeże WinRM do hostów serwerowych, szybkie sekwencje AD enum → konto DA → VSS. (MITRE: T1059, T1547.001, T1021.006, T1003/T1087).
4. Sieć: wychwytuj SOCKS5/„Supper” i powiązane C2 z najnowszych IoC/YARA publikowanych przez badaczy. Wdróż egr-filtering + DNS sinkhole dla wskazanych domen/IP.

Twardnienie środowiska
5. Ogranicz WinRM, włącz Credential Guard, Secured Core (tam gdzie możliwe), segmentację DC i stacji IT, zasada PAW dla administracji domeną.
6. Applocker/WDAC: blokuj wykonywanie skryptów z profilu użytkownika (%AppData%, %TEMP%).
7. Atak powierzchnia AD: rotacja haseł kont uprzywilejowanych, Tiering tożsamości, restrykcja Kerberoastingu (kontrola SPN, AES-only), monitorowanie nietypowych biletów.

Response
8. Playbook „Gootloader-like”: natychmiastowa izolacja hosta z pierwszą egzekucją JS/PS, analiza LNK/Startup, przegląd nowo utworzonych kont DA, kontrola VSS/backups, pamiętaj o triage DC w <12 h. (Case studies wskazują, iż okno to <17 h).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• Kiedyś: forumowe strony-przynęty, zadania harmonogramu, fileless PowerShell → Cobalt Strike. Dziś: legal-templates + WOFF2 glify, ZIP-anty-analiza, persistence przez Startup/LNK i szybkie użycie Supper. Ewolucja nakierowana jest na utratę widoczności przez analystów i skrócenie czasu do dominacji w AD.

Podsumowanie / najważniejsze wnioski

Gootloader wrócił i przyspieszył. Najważniejsza zmiana to ewazja na warstwie przeglądarki (WOFF2) i artefaktów (ZIP), w połączeniu z przewidywalnym, ale bardzo szybkim łańcuchem AD-centric. Obrona musi skupić się na wczesnych wskaźnikach zachowania oraz twardych politykach blokujących wykonywanie skryptów i ruch boczny, bo po kilkunastu godzinach bywa już za późno.

Źródła / bibliografia

• The Register — „Gootloader malware back for the attack, serves up ransomware”, 6 listopada 2025. (The Register)
• Huntress — „Gootloader Returns: What Goodies Did They Bring?”, 5 listopada 2025 (szczegóły: WOFF2, WordPress comments, IoC/YARA, Supper, 17 h → DC). (Huntress)
• BleepingComputer — „Gootloader malware is back with new tricks after 7-month break”, 5 listopada 2025 (malformowane ZIP-y, kampania „legal templates”). (BleepingComputer)
• Intel471 — „Threat hunting case study: Tracking down GootLoader”, 20 sierpnia 2024 (kontekst SEO poisoning, rola IAB). (Intel471)
• Trend Micro — „Gootkit Loader’s Updated Tactics and Fileless Delivery of Cobalt Strike”, 27 lipca 2022 (tło technik fileless, wcześniejsze kampanie). (www.trendmicro.com)