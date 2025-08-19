Etiquetas
IBM X-Force Threat Analysis: QuirkyLoader: un nuevo cargador de malware que ofrece infostealers y RAT

Una mujer con cara preocupada, con las manos junto a la cara, sentada frente a un ordenador mirando un ordenador portátil

Desde noviembre de 2024, IBM X-Force ha observado que se utiliza un nuevo cargador, QuirkyLoader, para entregar cargas útiles adicionales a los sistemas infectados. Algunas de las familias de malware más conocidas que utilizan QuirkyLoader son:

  • Agent Tesla                  
  • AsyncRAT
  • FormBook
  • MassLogger
  • Remcos 
  • Rhadamanthys
  • Snake Keylogger

La infección multifásica comienza con un correo electrónico. El actor de amenazas utiliza tanto proveedores de servicios de correo electrónico legítimos como un servidor de correo electrónico autoalojado para enviar correos electrónicos con un archivo malicioso adjunto. Este archivo contiene tres componentes clave: un ejecutable legítimo, una carga útil cifrada y una DLL maliciosa. El actor utiliza la carga lateral de DLL, una técnica en la que al iniciar el ejecutable legítimo también se carga la DLL maliciosa. Esta DLL, a su vez, carga, descifra e inyecta la carga útil final en su proceso de destino.

En particular, X-Force observó que el actor de amenazas escribe constantemente el módulo cargador de DLL en lenguajes .NET y utiliza la compilación anticipada (AOT). Este proceso compila el código en código máquina nativo antes de la ejecución, haciendo que el binario resultante parezca escrito en C o C++.

Tipo de amenaza

  • Cargador

Análisis

Cadena de infección

La cadena de infección de QuirkyLoader comienza cuando un usuario abre un archivo malicioso adjunto a un correo electrónico spam. Este archivo contiene un ejecutable legítimo, una carga útil cifrada disfrazada de DLL y un módulo cargador de DLL. En algunos casos, el archivo incluye otras DLL legítimas para ocultar el módulo malicioso.

La ejecución del archivo .EXE legítimo inicia las etapas posteriores de la infección. El ejecutable utiliza la carga lateral de DLL para cargar la DLL maliciosa. A continuación, esta DLL carga, descifra e inyecta la carga útil final en un proceso objetivo. Lo logra realizando el hollowing de procesos en uno de los siguientes procesos: AddInProcess32.exe, InstallUtil.exe o aspnet_wp.exe.

una muestra de correo electrónico utilizado para entregar malware/loader
Figura 1: Ejemplo de correo electrónico
un diagrama de flujo que muestra la cadena de infección de QuirkyLoader
Figura 2: Cadena de infección

Módulo cargador DLL

​El módulo DLL de QuirkyLoader se escribe de forma coherente en C# .NET. Se compila mediante la compilación Ahead-of-Time (AOT), que primero compila el código C# en Microsoft Intermediate Language (MSIL) y, a continuación, compila el MSIL en código máquina nativo. Esta técnica omite el método tradicional .NET de compilar primero el código en Microsoft Intermediate Language (MSIL) y luego usar Common Language Runtime (CLR) para traducirlo a código nativo. Como resultado, el binario final se asemeja a un programa escrito en C o C++.

captura de pantalla de la identificación del compilador y del lenguaje para un binario .NET AOT
Figura 3: Identificación del compilador y el lenguaje para un binario .NET AOT

Para cargar la carga útil cifrada, el malware llama a las API de Win32 CreateFileW() y ReadFile(). A continuación, descifra el búfer que contiene la carga útil, normalmente utilizando un cifrado por bloques.

Curiosamente, una variante utiliza el modo de cifrado Speck-128 con contador (CTR) para descifrar la carga útil, un método que el malware no suele utilizar. El cifrado Speck funciona expandiendo la clave maestra en varias claves redondas. Utiliza estas claves redondas junto con un nonce para generar un flujo de claves realizando operaciones Add-Rotate-XOR (ARX). Por último, el malware realiza una XOR del flujo de claves generado con los datos cifrados en bloques de 16 bytes para producir la carga útil descifrada.

__int64 __fastcall SPECK_128_KeyStream(__int64 *Nonce_Lower_Half, __int64
*Nonce_Upper_Half, __int64 Round_Keys)
{
  __int64 result; // rax
  __int64 v4; // r10
  LODWORD(result) = 0;
  if ( Round_Keys && *(Round_Keys + 8) >= 32 )
  {
    do
    {
      *Nonce_Lower_Half = *(Round_Keys + 8LL * result + 16) ^
(*Nonce_Upper_Half + __ROL8__(*Nonce_Lower_Half, 56));
      *Nonce_Upper_Half = *Nonce_Lower_Half ^ __ROL8__(*Nonce_Upper_Half, 3);
      result = (result + 1);
    }
    while ( result < 32 );
  }
  else
  {
    do
    {
      v4 = *Nonce_Upper_Half + __ROL8__(*Nonce_Lower_Half, 56);
      if ( result >= *(Round_Keys + 8) )
        ERR_Mb_15();
      *Nonce_Lower_Half = *(Round_Keys + 8LL * result + 16) ^ v4;
      *Nonce_Upper_Half = *Nonce_Lower_Half ^ __ROL8__(*Nonce_Upper_Half, 3);
      result = (result + 1);
    }
    while ( result < 32 );
  }
  return result;
}

Bloque de código 1 Generación de flujo de claves de Speck Cipher

Para evadir la detección por parte del software de seguridad, el malware resuelve dinámicamente las API Win32 necesarias para el vaciado de procesos.

Primero, el malware utiliza CreateProcessW() para lanzar un proceso en estado suspendido. Luego desmapea la memoria del proceso suspendido con ZwUnmapViewOfSection() y escribe su carga útil maliciosa en ese espacio de memoria usando ZwWriteVirtualMemory(). Tras realizar estas inicializaciones, el malware establece el punto de inicio de la carga útil con SetThreadContext() y llama a ResumeThread() para ejecutarla.

GetProcAddress ( 0x00007ff899380000, "CreateProcessW" )
GetProcAddress ( 0x00007ff899380000, "OpenProcess" )
GetProcAddress ( 0x00007ff899380000, "TerminateProcess" )
GetProcAddress ( 0x00007ff899380000, "CloseHandle" )
GetProcAddress ( 0x00007ff899380000, "GetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "Wow64GetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "SetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "Wow64SetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "ResumeThread" )
GetProcAddress ( 0x00007ff899380000, "VirtualAllocEx" )
GetProcAddress ( 0x00007ff89a6d0000, "ZwUnmapViewOfSection" )
GetProcAddress ( 0x00007ff89a6d0000, "ZwWriteVirtualMemory" )
GetProcAddress ( 0x00007ff899790000, "memset" )
GetProcAddress ( 0x00007ff899380000, "VirtualProtectEx" )
GetProcAddress ( 0x00007ff899380000, "FlushInstructionCache" )
GetProcAddress ( 0x00007ff899380000, "ReadProcessMemory" )

Victimología

Si bien la información sobre la distribución geográfica de las operaciones de QuirkyLoader ha sido limitada durante los últimos meses, en julio de 2025 se descubrieron dos campañas distintas dirigidas a Taiwán y México. La campaña en Taiwán se dirigió específicamente a los empleados de Nusoft Taiwan, una empresa de investigación de seguridad de redes e Internet, y distribuyó el infostealer Snake Keylogger. En México, la campaña se dirigió aleatoriamente a individuos, entregando tanto Remcos RAT como AsyncRAT.

Infraestructura de red relacionada

IBM X-Force descubrió otros IOC de red relacionados con el dominio utilizado para distribuir los correos electrónicos maliciosos. La investigación comenzó con el dominio catherinereynolds[.]info, que se resuelve en la dirección IP 157[.]66[.]225[.]11 y aloja un cliente web de Zimbra. Tras una inspección más detallada, se descubrió que el dominio utiliza un certificado SSL con el nombre común mail[.]catherinereynolds[.]info. A partir de este certificado, las direcciones IP 103[.]75[.]77[.]90 y 161[.]248[.]178[.]212 se descubrió que utilizaban el mismo certificado SSL. X-Force confía plenamente en que estas IP adicionales están relacionadas porque utilizan ISP similares, alojan servicios similares y comparten el mismo nombre común en sus certificados SSL.

Certificado SSL de catherinereynolds[.]info
Figura 4: Certificado SSL de catherinereynolds[.]info

Conclusión

QuirkyLoader es un nuevo malware de carga que distribuye activamente familias de malware conocidas como Agent Tesla, AsyncRAT y Remcos. El actor de amenazas inicia una infección en varias fases utilizando correos electrónicos maliciosos que contienen un archivo comprimido. Al aprovechar la carga lateral de DLL, el malware ejecuta su módulo DLL principal, que se escribe constantemente en .NET y se compila con antelación para disfrazar su naturaleza. A continuación, este módulo descifra e inyecta la carga útil final, lo que demuestra un sofisticado método de distribución de diversas amenazas de malware.

Recomendaciones

  • Bloquear mensajes con archivos adjuntos ejecutables
  • Evite abrir correos electrónicos inesperados
  • Evite abrir archivos que provengan de fuentes que no sean de confianza
  • Mantener los productos de seguridad actualizados y correctamente configurados
  • Como las cargas finales suelen ser ladrones de información y herramientas de acceso remoto, supervise e inspeccione activamente el tráfico de red saliente
  • Supervise de cerca el comportamiento de los siguientes procesos legítimos, ya que son objetivos comunes para el vaciado de procesos por parte de QuirkyLoader:
  •  
    • AddInProcess32.exe
    • InstallUtil.exe
    • aspnet_wp.exe

Indicadores de compromiso

Indicador

Tipo de indicador

Contexto

011257eb766f2539828bdd45
F8aa4CE3c4048AC2699d9883
29783290a7b4a0d3

Archivo

Módulo DLL QuirkyLoader

0ea3a55141405ee0e2dfbf33
3de01fe93c12cf34555550e4f
7bb3fdec2a7673b

Archivo

Módulo DLL QuirkyLoader

A64A99B8451038F2BBCD32
2fd729edf5e6ae0eb70a244
e342b2f8eff12219d03

Archivo

Módulo DLL QuirkyLoader

9726e5c7f9800b36b671b06
4e89784fb10465210198fbbb
75816224e85bd1306

Archivo

Módulo DLL QuirkyLoader

a1994ba84e255eb02a6140C
ab9fc4dd9a6371a84b1dd631
BD649525AC247C111

Archivo

Módulo DLL QuirkyLoader

d954b235bde6AD02451cab
6ee1138790eea569cf8fd0b
95de9dc505957c533cd

Archivo

Ejemplo de correo electrónico de QuirkyLoader

5d5b3e3b78aa25664fb2bfdb
f061fc1190310f5046d969adab
3e7565978b96ff

Archivo

Ejemplo de correo electrónico de QuirkyLoader

6f53c1780b92f3d5affcf095ae
0ad803974de6687a4938a2e
1c9133bf1081eb6

Archivo

Ejemplo de correo electrónico de QuirkyLoader

EA65CF2D5634A81F37D3241A7
7f9cd319e45c1b13ffbaf5f8a63
7b34141292eb

Archivo

Ejemplo de correo electrónico de QuirkyLoader

1b8c6d3268a5706fb41ddfff99
c8579EF029333057B911BB490
5e24aacc05460

Archivo

Ejemplo de correo electrónico de QuirkyLoader

d0a3a1ee914bcbfcf709d36741
7f8c85bd0a22d8ede0829a66
e5be34e5e53bb9

Archivo

Ejemplo de correo electrónico de QuirkyLoader

b22d878395ac2F2D927B78B16
c9f5e9b98e006d6357c98dbe
04b3fd78633ddde

Archivo

Ejemplo de correo electrónico de QuirkyLoader

a83aa955608e9463f272ADCA
205c9e1a7cbe9d1ced1e10c9d
517b4d1177366f6

Archivo

Ejemplo de correo electrónico de QuirkyLoader

3391b0f865f4c13dcd9f08c6d3e
3be844e89fa3afbcd95b5d1a1c
5abcacf41f4

Archivo

Ejemplo de correo electrónico de QuirkyLoader

b2fdf10bd28c781ca354475be6
db40b8834f33d395f7b5850be
43ccace722c13

Archivo

Ejemplo de correo electrónico de QuirkyLoader

bf3093f7453e4d0290511ea6a0
36cd3a66f456cd4a85b7ec8fbf
ea6b9c548504

Archivo

Archivo adjunto de correo electrónico que contiene QuirkyLoader

97aee6ca1bc79064d21e1eb7b8
6e497adb7ece6376f355e47b2
AC60F366E843D

Archivo

Archivo adjunto de correo electrónico que contiene QuirkyLoader

b42bc8b2aeec39f25babdcbbd
aab806c339e4397debfde2ff1b
69dca5081eb44

Archivo

Archivo adjunto de correo electrónico que contiene QuirkyLoader

5aaf02e4348dc6e962ec54d5d5d
31095f055bd7fb1e5831768200
3552fd6fe25dc

Archivo

Archivo adjunto de correo electrónico que contiene QuirkyLoader

8e0770383c03ce6921079879
9d543b10de088bac147dce47
03f13f79620b68b1

Archivo

Archivo adjunto de correo electrónico que contiene QuirkyLoader

049ef50ec0fac1b99857a6d2b
eb8134be67ae67ae134f9a3c5
3699cdaa7c89ac

Archivo

Archivo adjunto de correo electrónico que contiene QuirkyLoader

cba8bb455d577314959602eb
15edcaa34d0b164e2ef9d89b0
8733ed64381c6e0

Archivo

Archivo adjunto de correo electrónico que contiene QuirkyLoader

catherinereynolds[.]info

Dominio

Dominio utilizado para la campaña de malspam

mail[.]catherinereynolds[.]info

Dominio

Dominio utilizado para la campaña de malspam

157[.]66[.]22[.]11

IPv4

Dirección IP que catherinereynolds[.]info resuelve

103[.]75[.]77[.]90

IPv4

Dirección IP relacionada con QuirkyLoader

161[.]248[.]178[.]212

IPv4

Dirección IP relacionada con QuirkyLoader

IBM X-Force Premier Threat Intelligence ahora está integrado con OpenCTI, proporcionando inteligencia de amenazas que se puede ejecutar sobre esta actividad de amenazas y más. Acceda a conocimiento sobre los actores de amenazas, el malware y los sectores de riesgos. Instale el OpenCTI Connector para mejorar la detección y la respuesta, reforzando su ciberseguridad con la experiencia de IBM X-Force. Manténgase a la vanguardia: integre hoy.

