El malware Gootloader vuelve a escena y esta vez con un giro técnico que está llamando la atención en la comunidad defensiva: una “ZIP bomb” diseñada para evadir detección. Según un informe de Expel, difundido por CyberInsider, los operadores detrás de esta familia de malware están utilizando un archivo ZIP deliberadamente malformado que consigue el doble objetivo de burlar antivirus y complicar el trabajo de los analistas forenses.

Lo interesante es que este ZIP está estructurado de forma inusual. Para la mayoría de las herramientas forenses es ilegible, pero en los sistemas de las víctimas funciona sin problemas, ejecutando un archivo JScript que da inicio a una cadena de infección en múltiples etapas. Expel afirma que esta técnica ha estado evolucionando en silencio mientras Gootloader reaparecía en noviembre de 2025 tras una breve pausa.

Gootloader ha sido históricamente usado para acceso inicial en operaciones de ransomware. Ahora, su campaña más reciente ha sido asociada al actor Vanilla Tempest, conocido por desplegar el ransmoware Rhysida, según investigadores de Huntress y otras fuentes independientes. Mientras que investigaciones previas se centraron en las etapas posteriores del ataque, el nuevo reporte pone el foco en el método de entrega vía ZIP, un punto clave para impedir la detección temprana y la respuesta de incidentes.

El archivo ZIP utilizado está intencionalmente corrupto, evitando que herramientas como 7-Zip o WinRAR puedan abrirlo. Pero el handler ZIP integrado en Windows sí lo interpreta correctamente, lo que garantiza que las víctimas puedan ejecutar el payload sin sospechas. Expel detalla que este ZIP no es realmente un archivo comprimido típico, sino una concatenación masiva de entre 500 y 1.000 ZIPs, aprovechándose del hecho de que el formato ZIP se lee desde el final. Para reforzar el encubrimiento, cada archivo se genera de forma única por víctima, con metadatos aleatorios y técnicas de hashbusting que anulan la detección estática.

Una vez abierto, el JScript inicial despliega un flujo de infección más complejo: persiste mediante archivos .LNK, invoca PowerShell, y ejecuta scripts con comandos ofuscados y nombres NTFS cortos, dificultando el análisis de comportamiento. A pesar de lo novedoso del enfoque creativo, Expel afirma que pueden identificarse estos ZIP gracias a patrones repetidos, lo que vuelve clave la detección basada en patrones para una defensa crítica.