منذ نوفمبر 2024، رصدت IBM X-Force استخدام محمل جديد، QuirkyLoader، لنشر حمولات إضافية على الأنظمة المصابة. بعض عائلات البرامج الضارة المعروفة التي تستخدم QuirkyLoader تشمل ما يلي:

Agent Tesla

AsyncRAT

FormBook

MassLogger

Remcos

Rhadamanthys

Snake Keylogger

تبدأ عملية الإصابة متعددة المراحل برسالة بريد إلكتروني. يستخدم عنصر التهديد كلاً من مزودي خدمة البريد الإلكتروني الشرعيين وخادم بريد إلكتروني مستضاف ذاتيًا لإرسال رسائل البريد الإلكتروني مرفقة بأرشيف خبيث. يحتوي هذا الأرشيف على ثلاثة عناصر رئيسية: ملف تنفيذي شرعي، وحمولة مشفرة، وملف DLL خبيث. يستخدم العنصر أسلوب التحميل الجانبي لملف DLL، وهي تقنية يؤدي فيها تشغيل الملف التنفيذي الشرعي إلى تحميل ملف DLL الخبيث أيضًا. وملف DLL هذا، بدوره، يحمل الحمولة النهائية ويفك تشفيرها ويحقنها في العملية المستهدفة.

ومن الجدير بالذكر أن X-Force لاحظت أن عنصر التهديد يكتب وحدة محمل DLL دائمًا بلغات .NET ويستخدم الإعداد المسبق (AOT). تحول هذه العملية الكود إلى كود الجهاز الأصلي قبل التنفيذ، ما يجعل الملف الثنائي الناتج يبدو وكأنه مكتوب بلغة C أو C++.