Desde noviembre de 2024, IBM X-Force ha observado que se utiliza un nuevo cargador, QuirkyLoader, para entregar cargas útiles adicionales a los sistemas infectados. Algunas de las familias de malware conocidas que utilizan QuirkyLoader incluyen:
La infección en varias etapas comienza con un correo electrónico. El actor de amenazas utiliza tanto proveedores de servicios de correo electrónico legítimos como un servidor de correo electrónico autohospedado para enviar correos electrónicos con un archivo malicioso adjunto. Este archivo contiene tres componentes clave: un ejecutable legítimo, una carga útil cifrada y una DLL maliciosa. El actor utiliza la carga lateral de DLL, una técnica en la que al iniciar el ejecutable legítimo también se carga la DLL maliciosa. Esta DLL, a su vez, carga, descifra e inyecta la carga útil final en su proceso de destino.
En particular, X-Force observó que el actor de amenazas escribe constantemente el módulo del cargador DLL en lenguajes .NET y utiliza la compilación anticipada (AOT). Este proceso compila el código en código de máquina nativo antes de la ejecución, lo que hace que el binario resultante parezca escrito en C o C++.
La cadena de infección de QuirkyLoader comienza cuando un usuario abre un archivo malicioso adjunto a un correo electrónico spam. Este archivo contiene un ejecutable legítimo, una carga útil cifrada disfrazada como una DLL y un módulo cargador de DLL. En algunos casos, el archivo incluye otras DLL legítimas para ocultar el módulo malicioso.
La ejecución del archivo .EXE legítimo inicia las etapas posteriores de la infección. El ejecutable utiliza la carga lateral de DLL para cargar la DLL maliciosa. Luego, esta DLL carga, descifra e inyecta la carga útil final en un proceso de destino. Para ello, realiza un vaciado de procesos en uno de los siguientes procesos: AddInProcess32.exe, InstallUtil.exe o aspnet_wp.exe.
El módulo DLL de QuirkyLoader se escribe constantemente en C# .NET. Se compila mediante la compilación Ahead-of-Time (AOT), que primero compila el código C# en Microsoft Intermediate Language (MSIL) y luego compila el MSIL en código de máquina nativo. Esta técnica omite el método tradicional .NET de compilar primero el código en Microsoft Intermediate Language (MSIL) y luego usar Common Language Runtime (CLR) para traducirlo a código nativo. Como resultado, el binario final se asemeja a un programa escrito en C o C++.
Para cargar la carga útil cifrada, el malware llama a las API de Win32 CreateFileW() y ReadFile(). A continuación, descifra el búfer que contiene la carga útil, normalmente utilizando un cifrado por bloques.
Curiosamente, una variante utiliza el modo de cifrado Speck-128 con contador (CTR) para descifrar la carga útil, un método que el malware no suele utilizar. El cifrado Speck funciona expandiendo la clave maestra en varias claves redondas. Utiliza estas claves redondas junto con un nonce para generar un flujo de claves realizando operaciones Add-Rotate-XOR (ARX). Finalmente, el malware aplica XOR al flujo de claves generado contra los datos cifrados en bloques de 16 bytes para producir la carga útil descifrada.
Bloque de código 1 Generación de flujo de claves de Speck Cipher
Para evadir la detección por parte del software de seguridad, el malware resuelve dinámicamente las API Win32 necesarias para el vaciado de procesos.
En primer lugar, el malware utiliza CreateProcessW() para iniciar un proceso en un estado suspendido. A continuación, desasigna la memoria del proceso suspendido con ZwUnmapViewOfSection() y escribe su carga maliciosa en ese espacio de memoria utilizando ZwWriteVirtualMemory(). Después de realizar estas inicializaciones, el malware establece el punto de inicio de la carga útil con SetThreadContext() y llama a ResumeThread() para ejecutarla.
Si bien la información sobre la distribución geográfica de las operaciones de QuirkyLoader ha sido limitada durante los últimos meses, en julio de 2025 se descubrieron dos campañas distintas dirigidas a Taiwán y México. La campaña en Taiwán se dirigió específicamente a los empleados de Nusoft Taiwán, una empresa de investigación de seguridad de redes e Internet, y distribuyó el infostealer Snake Keylogger. En México, la campaña se dirigió aleatoriamente a personas, entregando tanto Remcos RAT como AsyncRAT.
IBM X-Force descubrió IOC de red adicionales relacionados con el dominio utilizado para distribuir los correos electrónicos malspam. La investigación comenzó con el dominio catherinereynolds[.]info, que se resuelve en la dirección IP 157[.]66[.]225[.]11 y aloja un cliente web Zimbra. Tras una inspección más detallada, se descubrió que el dominio utiliza un certificado SSL con el nombre común mail[.]catherinereynolds[.]info. A partir de este certificado, las IP 103[.]75[.]77[.]90 y 161[.]248[.]178[.]212 se descubrió que utilizaban el mismo certificado SSL. X-Force confía plenamente en que estas IP adicionales están relacionadas porque utilizan ISP similares, alojan servicios similares y comparten el mismo nombre común en sus certificados SSL.
QuirkyLoader es un nuevo malware de cargador que distribuye activamente familias de malware conocidas como Agent Tesla, AsyncRAT y Remcos. El actor de amenazas inicia una infección en varias etapas utilizando correos electrónicos maliciosos que contienen un archivo comprimido. Al aprovechar la carga lateral de DLL, el malware ejecuta su módulo DLL principal, que se escribe constantemente en .NET y se compila con anticipación para disfrazar su naturaleza. A continuación, este módulo descifra e inyecta la carga útil final, lo que demuestra un método sofisticado para distribuir diversas amenazas de malware.
Indicador
Tipo de indicador
Contexto
011257eb766f2539828bdd45
Archivo
Módulo DLL de QuirkyLoader
0ea3a55141405ee0e2dfbf33
Archivo
Módulo DLL de QuirkyLoader
A64A99B8451038F2BBCD32
Archivo
Módulo DLL de QuirkyLoader
9726e5c7f9800b36b671b06
Archivo
Módulo DLL de QuirkyLoader
a1994ba84e255eb02a6140C
Archivo
Módulo DLL de QuirkyLoader
d954b235bde6AD02451cab
Archivo
Ejemplo de correo electrónico de QuirkyLoader
5d5b3e3b78aa25664fb2bfdb
Archivo
Ejemplo de correo electrónico de QuirkyLoader
6f53c1780b92f3d5affcf095ae
Archivo
Ejemplo de correo electrónico de QuirkyLoader
EA65CF2D5634A81F37D3241A7
Archivo
Ejemplo de correo electrónico de QuirkyLoader
1b8c6d3268a5706fb41ddfff99
Archivo
Ejemplo de correo electrónico de QuirkyLoader
d0a3a1ee914bcbfcf709d36741
Archivo
Ejemplo de correo electrónico de QuirkyLoader
b22d878395ac2F2D927B78B16
Archivo
Ejemplo de correo electrónico de QuirkyLoader
a83aa955608e9463f272ADCA
Archivo
Ejemplo de correo electrónico de QuirkyLoader
3391b0f865f4c13dcd9f08c6d3e
Archivo
Ejemplo de correo electrónico de QuirkyLoader
b2fdf10bd28c781ca354475be6
Archivo
Ejemplo de correo electrónico de QuirkyLoader
bf3093f7453e4d0290511ea6a0
Archivo
Archivo adjunto de correo electrónico que contiene QuirkyLoader
97aee6ca1bc79064d21e1eb7b8
Archivo
Archivo adjunto de correo electrónico que contiene QuirkyLoader
b42bc8b2aeec39f25babdcbbd
Archivo
Archivo adjunto de correo electrónico que contiene QuirkyLoader
5aaf02e4348dc6e962ec54d5d5d
Archivo
Archivo adjunto de correo electrónico que contiene QuirkyLoader
8e0770383c03ce6921079879
Archivo
Archivo adjunto de correo electrónico que contiene QuirkyLoader
049ef50ec0fac1b99857a6d2b
Archivo
Archivo adjunto de correo electrónico que contiene QuirkyLoader
cba8bb455d577314959602eb
Archivo
Archivo adjunto de correo electrónico que contiene QuirkyLoader
catherinereynolds[.]info
Dominio
Dominio utilizado para la campaña de malspam
mail[.]catherinereynolds[.]info
Dominio
Dominio utilizado para la campaña de malspam
157[.]66[.]22[.]11
ipv4
Dirección IP que catherinereynolds[.]info resuelve en
103[.]75[.]77[.]90
ipv4
Dirección IP relacionada con QuirkyLoader
161[.]248[.]178[.]212
ipv4
Dirección IP relacionada con QuirkyLoader
