Claimloader es una familia de cargadores que ha evolucionado significativamente en los últimos años. Contienen una carga útil de código de shell cifrada, que se descifra y se inyecta en tiempo de ejecución. Nuestro blog anterior proporciona más detalles técnicos sobre las variantes anteriores utilizadas por Hive0154.

En la primera ejecución, Claimloader comienza creando un nuevo objeto mutex para garantizar que solo se esté ejecutando una única instancia de Claimloader. A continuación, se mueve a sí mismo y al EXE de sus procesos utilizado para la carga lateral de DLL a un nuevo directorio con un nuevo nombre, como:

C:\ProgramData\AdobeLicensingPlugin\WF_Adobe_licensing_helper.exe

C:\ProgramData\AdobeLicensingPlugin\libjyy.dll

A continuación, Claimloader utiliza la API SHSetValueA() para establecer la persistencia del EXE mediante una clave de registro que aparece a continuación:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Esto hará que el EXE se ejecute cada vez que el usuario actual se conecte a la máquina. El proceso se ejecuta con un argumento predefinido, como "Licensing", que se utiliza para invocar la funcionalidad principal de Claimloader.

En la segunda ejecución de Claimloader con el argumento especificado, la última variante de Claimloader comienza a descifrar una carga útil incrustada a través del algoritmo TripleDES. Este algoritmo solo se ha observado en las variantes de Claimloader a partir de finales de abril de 2025. Las variantes actualizadas también utilizan nombres de API cifrados con XOR y las API nativas LdrLoadDll() y LdrGetProcedureAddress() para resolver las importaciones de forma dinámica.

Después de dormir durante cinco segundos, Claimloader asigna un nuevo búfer ejecutable en la memoria y copia la carga útil del shellcode en él. El malware duerme durante otros 10 segundos y luego llama a las funciones GetDC() y EnumFontsW() de la API, que utiliza para ejecutar la carga útil en la memoria pasando su punto de entrada como función de devolución de llamada.