عاد مالوير GootLoader للظهور مجددًا بعد ارتفاع مؤقت في النشاط في مارس الماضي، وفقًا لنتائج جديدة أصدرتها شركة Huntress. رصد الفريق ثلاث إصابات منذ 27 أكتوبر 2025، أدت اثنتان منها إلى اختراقات يدوية (hands-on keyboard) تكللت بمساءلة متحكّم النطاق (Domain Controller) خلال 17 ساعة فقط من العدوى الأولية.
تقنية إخفاء جديدة: خطوط WOFF2 واستبدال الرموز
تستغل النسخ الحديثة من GootLoader ملف خطوط ويب مخصّص بصيغة WOFF2 مع آلية glyph substitution لإخفاء أسماء الملفات المعروضة في المتصفح، ما يفشل آليات التحليل الثابتة. بحسب الباحثة Anna Pham، يقوم المهاجمون بحقن الخط المخصّص داخل كود جافاسكريبت عبر ترميز Z85 (نسخة من Base85) لتمكين تضمين الخط بحجم مضغوط داخل الصفحة. بهذه الطريقة، يظهر في شفرة المصدر ونص النسخ أحرف غريبة لا معنى لها — بينما تتحوّل عند العرض في متصفح الضحية إلى أسماء ملفات مفهومة مثل Florida_HOA_Committee_Meeting_Guide.pdf، ما يضلّل المحللات اليدوية والتلقائية على حد سواء.
آلية التوزيع والتحميل والتفاصيل التقنية الأخرى
يستغل GootLoader نقاط نهاية التعليقات في مواقع WordPress لتسليم أرشيفات ZIP مشفّرة بـXOR بمفاتيح فريدة لكل ملف. لوحظ أيضًا تعديل في بنية الأرشيف بحيث تفك أدوات التحليل مثل VirusTotal أو أدوات بايثون أو 7-Zip الأرشيف إلى ملف .TXT ظاهر، بينما يستخرج مستكشف ملفات ويندوز (File Explorer) نسخة JavaScript صالحة تعمل كحمولة خبيثة — حيلة بسيطة لكنها فعّالة لإطالة وقت المراجعة وتحقيق مستوى أعلى من المراوغة.
سابقًا اعتمد المهاجمون أيضًا على تقنيات SEO poisoning وGoogle Ads لاستهداف ضحايا يبحثون عن قوالب قانونية أو مستندات، وإعادة توجيههم إلى مواقع WordPress مخترقة تستضيف تلك الأرشيفات الضارة. الحملة الأحدث استهدفت، على سبيل المثال، عمليات بحث على Bing عن عبارات متخصصة مثل “missouri cover utility easement roadway” لتوجيه الضحايا إلى صفحات مصابة.
سلسلة الهجمات والبرمجيات الثانوية والقدرات العملية للمهاجم
تضمِّن سلسلة الهجوم عادةً تنزيل حمولة JavaScript داخل الأرشيف تزود الوصول إلى باب خلفي يُعرف باسم Supper (المعروف أيضًا SocksShell أو ZAPCAT)، وهو بمثابة backdoor يدعم التحكم عن بُعد وعمليات بروكسي SOCKS5. في حالات موثقة، استغل المهاجمون وصولهم للانتقال الجانبي (lateral movement) باستخدام Windows Remote Management (WinRM) للوصول إلى Domain Controller وإنشاء حسابات ذات صلاحيات إدارية.
ترتبط إصابات GootLoader بسلسلة من المجموعات والحمولات: الفاعل الذي تُعقبه Huntress يُسمى Hive0127 (المعروف أيضًا UNC2565)، وهناك علاقات تقريرية تربط Hand-offs مع مجموعات أخرى مثل Storm-0494 التي تُسلم الوصول إلى Vanilla Tempest لتنزيل أدوات مثل Supper وAnyDesk ونشر برامج فدية (INC ransomware). كما رُبطت برمجيات مثل Supper بتصنيفات أخرى (Interlock RAT / NodeSnake) ضمن منظومة مجرمة واسعة تتشارك أدوات ومواردًا متداخلة.
