Desde noviembre de 2024, IBM X-Force ha observado que se utiliza un nuevo cargador, QuirkyLoader, para entregar cargas útiles adicionales a los sistemas infectados. Algunas de las familias de malware más conocidas que utilizan QuirkyLoader son:

Agent Tesla

AsyncRAT

FormBook

MassLogger

Remcos

Rhadamanthys

Snake Keylogger

La infección multifásica comienza con un correo electrónico. El actor de amenazas utiliza tanto proveedores de servicios de correo electrónico legítimos como un servidor de correo electrónico autoalojado para enviar correos electrónicos con un archivo malicioso adjunto. Este archivo contiene tres componentes clave: un ejecutable legítimo, una carga útil cifrada y una DLL maliciosa. El actor utiliza la carga lateral de DLL, una técnica en la que al iniciar el ejecutable legítimo también se carga la DLL maliciosa. Esta DLL, a su vez, carga, descifra e inyecta la carga útil final en su proceso de destino.

En particular, X-Force observó que el actor de amenazas escribe constantemente el módulo cargador de DLL en lenguajes .NET y utiliza la compilación anticipada (AOT). Este proceso compila el código en código máquina nativo antes de la ejecución, haciendo que el binario resultante parezca escrito en C o C++.