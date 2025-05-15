El grupo NCC informó previamente sobre una técnica similar.

En noviembre de 2022, LAC informó sobre una variante de Claimloader probablemente dirigida a organizaciones de gobierno en Filipinas en una cadena de infección casi exactamente igual a la actividad en 2023-2024 detallada en las secciones anteriores. La variante almacena su carga útil en bloques de 32 bytes de cadenas de pila cifradas, antes de descifrar cada uno de ellos. También copia el ejecutable legítimo y la DLL de Claimloader en un nuevo directorio antes de intentar establecer la persistencia a través del registro o las tareas programadas, lo que lo convierte en un instalador además de un cargador.

Al ejecutarse, el malware comienza creando un mutex codificado para garantizar que solo se ejecute una única instancia de Claimloader. A continuación, comprueba si hay un argumento de línea de comandos específico, que no está presente en la primera ejecución. Si ese es el caso, Claimloader copiará tanto el EXE como el DLL en un nuevo directorio discreto, a menudo en "C:\ProgramData\", imitando un directorio de software como:

C:\ProgramData\NVIDIACorporatione\

C:\ProgramData\NVIDIACorporation\

C:\ProgramData\jxbrowserEdgeBLA\

C:\ProgramData\jxbrowserEdgeIDWT\

C:\ProgramData\JxbrowserChromium\

C:\ProgramData\FastPerfPDF\

C:\ProgramData\NVIDIAFrameViewSDK\

Este comportamiento es utilizado por la mayoría de las muestras más recientes de Claimloader y también puede conducir a ejecuciones fallidas de sandbox.

A continuación, el malware establece la persistencia en el inicio de sesión almacenando la ruta del EXE con el argumento correcto de la línea de comandos en una nueva clave de registro nuevamente con un nombre de software discreto en:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run