Después de siete meses de silencio, el malware Gootloader ha vuelto a la acción. Esta amenaza, conocida por aprovechar el envenenamiento SEO para engañar a los usuarios y distribuir archivos maliciosos, está nuevamente activa y más sofisticada.
En TecnetOne, seguimos de cerca este tipo de amenazas cibernéticas que ponen en riesgo tanto a empresas como a usuarios individuales. Por eso, en este artículo te contamos qué es Gootloader, cómo funciona su nueva campaña y qué medidas puedes tomar para protegerte antes de que sea demasiado tarde.
Gootloader, un cargador de malware escrito en JavaScript, se propaga a través de sitios web comprometidos o controlados por atacantes, diseñados para parecer legítimos. Gracias al envenenamiento SEO, estos sitios logran posicionarse en los primeros resultados de búsqueda con palabras clave comunes como “contrato de confidencialidad” o “modelo de acuerdo legal”. Cuando el usuario descarga el supuesto documento, en realidad está iniciando una infección silenciosa en su equipo.
Anuncio malicioso de una plantilla de acuerdo de confidencialidad
Antes, los atacantes detrás de Gootloader utilizaban foros falsos que parecían responder preguntas reales de los usuarios. Dentro de esas conversaciones, se compartían enlaces a supuestas plantillas de documentos, que en realidad eran archivos maliciosos.
Con el tiempo, la estrategia evolucionó: en lugar de foros, las nuevas campañas empezaron a usar sitios web que aparentaban ofrecer plantillas gratuitas de documentos legales (como contratos, acuerdos o formularios) para atraer a sus víctimas de forma más convincente.
Sitio web con plantillas falsas de acuerdos y documentos legales
Cuando el usuario hacía clic en el botón “Obtener documento”, el sitio comprobaba si se trataba de una visita legítima. Si pasaba ese filtro, automáticamente se descargaba un archivo comprimido (.zip) que contenía un supuesto documento, aunque en realidad era un archivo malicioso con extensión .js.
Por ejemplo, uno de los nombres más comunes era mutual_non_disclosure_agreement.js, que se presentaba como una plantilla legal inofensiva.
Al abrir el archivo, Gootloader entraba en acción y comenzaba a descargar otros componentes maliciosos en el equipo de la víctima. Entre ellos, herramientas como Cobalt Strike, puertas traseras y bots diseñados para ofrecer acceso inicial a redes corporativas. Una vez dentro, otros ciberdelincuentes aprovechaban esa brecha para lanzar ataques más graves, como la instalación de ransomware o el robo de información sensible.
Conoce más sobre: GootBot, la Variante de Gootloader que Revoluciona el Malware
Después de varios meses de silencio, Gootloader ha vuelto a la escena con una nueva campaña que está llamando la atención de los expertos en ciberseguridad.
Un investigador independiente, que opera bajo el seudónimo de “Gootloader”, lleva años rastreando y desmantelando esta operación. Gracias a sus reportes de abuso enviados a proveedores de internet y servicios de alojamiento, logró interrumpir por completo la actividad del malware el 31 de marzo de 2025.
Pero la pausa fue temporal. En las últimas semanas, se ha detectado una nueva ola de ataques de Gootloader, que vuelve a utilizar tácticas de envenenamiento SEO y sitios falsos que ofrecen supuestas plantillas de documentos legales.
“En esta última campaña hemos identificado miles de palabras clave únicas distribuidas en más de 100 sitios web”, explicó el investigador en su blog. “El objetivo sigue siendo el mismo: convencer a las víctimas de descargar un archivo ZIP malicioso que contiene un script JScript (.JS), el cual establece un acceso inicial que suele derivar en ataques de ransomware.”
El regreso de Gootloader demuestra cómo los ciberdelincuentes continúan evolucionando sus métodos para aprovechar la confianza de los usuarios y colarse en redes corporativas a través de estrategias de ingeniería social cada vez más sofisticadas.
Flujo de ataque actual de la campaña Gootloader (Fuente: Huntress Labs)
Los investigadores señalan que esta nueva versión de Gootloader incorpora trucos bastante ingeniosos para evadir las herramientas de análisis automatizadas y confundir a los especialistas en seguridad.
Durante la investigación, se descubrió que el código JavaScript inyectado en los sitios maliciosos utiliza una técnica muy creativa: oculta los nombres reales de los archivos mediante una fuente web personalizada. Esta fuente sustituye letras por símbolos parecidos, de modo que lo que parece un texto sin sentido en el código fuente, en realidad muestra palabras perfectamente legibles en la página.
Por ejemplo, en el HTML se puede ver una cadena como Oa9Z±h•, pero al renderizarse en el navegador, esa combinación se transforma visualmente en la palabra “Florida”. Es decir, el texto visible no coincide con el texto real del código.
El truco está en cómo se manipulan los glifos dentro de la fuente. En lugar de usar las funciones típicas de sustitución o las tablas de caracteres de OpenType, los atacantes alteraron directamente las formas vectoriales de cada letra. Así, aunque el carácter “O” parece normal en los metadatos, en realidad dibuja una “F”; la “a” dibuja una “l”, el “9” se convierte en una “o”, y hasta símbolos Unicode como “±” terminan mostrando una “i”.
Este tipo de manipulación hace que el código parezca inofensivo a los ojos de los sistemas automatizados, que solo ven caracteres aleatorios, mientras que el usuario observa una página perfectamente coherente. Es una técnica de ofuscación visual avanzada que complica enormemente el trabajo de los investigadores y retrasa la detección del malware.
Mapeo de caracteres para mostrar texto legible a los visitantes
Conoce más sobre: Ingeniería social + Experiencia de Usuario: La Fórmula de los Hackers
Otro hallazgo interesante es que Gootloader ahora utiliza archivos ZIP malformados para distribuir sus scripts maliciosos desde sitios web controlados por los atacantes.
Estos archivos están diseñados con una doble intención. Cuando un usuario los descarga y los descomprime con el Explorador de Windows, se extrae un archivo JavaScript malicioso, normalmente con un nombre como Review_Hearings_Manual_2025.js. Este es el archivo que activa la infección.
Sin embargo, si ese mismo archivo ZIP se analiza con herramientas de seguridad o programas como VirusTotal, las utilidades ZIP de Python o 7-Zip, lo que se descomprime no es el script malicioso, sino un simple archivo de texto inofensivo llamado Review_Hearings_Manual_202.txt.
En otras palabras, el archivo contiene dos versiones internas del mismo contenido, pero está intencionalmente malformado. Esto provoca que diferentes herramientas extraigan distintos resultados, lo que engaña a los sistemas de análisis y dificulta su detección.
Esta técnica demuestra el nivel de sofisticación que ha alcanzado Gootloader: manipula la estructura interna del ZIP para ocultar sus verdaderas intenciones y mantenerse fuera del radar de los antivirus tradicionales.
Archivo Gootloader que utiliza un archivo malformado
Todavía no está del todo claro si los atacantes están utilizando el mismo truco de concatenación visto en 2024 o si han desarrollado una nueva técnica para lograr que Windows extraiga el archivo JavaScript malicioso. Lo que sí se ha confirmado es que la campaña termina instalando una puerta trasera conocida como Supper SOCKS5 en los dispositivos comprometidos.
Esta backdoor permite a los atacantes obtener acceso remoto completo a los equipos infectados, lo que facilita moverse dentro de la red y preparar ataques más complejos. Supper SOCKS5 es un malware utilizado por un grupo de ransomware conocido como Vanilla Tempest, con un largo historial de operaciones maliciosas.
Se cree que Vanilla Tempest ha estado vinculado a otras bandas de ransomware como BlackCat, Quantum Locker, Zeppelin, Rhysida e incluso Inc, lo que muestra el nivel de alcance y experiencia de este actor.
En los casos analizados, los atacantes actuaron con una velocidad alarmante: realizaron un reconocimiento del entorno en apenas 20 minutos y lograron comprometer el controlador de dominio en menos de 17 horas. Este tipo de rapidez demuestra la peligrosidad de Gootloader y su papel como puerta de entrada para ataques de ransomware.
Ahora que Gootloader ha vuelto a estar activo, tanto usuarios corporativos como particulares deben ser muy cuidadosos al buscar o descargar plantillas y documentos legales desde Internet.
En TecnetOne, siempre recomendamos verificar la legitimidad de los sitios antes de descargar cualquier archivo y evitar fuentes desconocidas o poco confiables. Si necesitas documentos o plantillas para tu empresa, procura obtenerlos de sitios oficiales o plataformas verificadas.
Recuerda: a veces, una simple descarga puede abrir la puerta a un gran problema de seguridad.
Por eso es clave mantener tus sistemas siempre protegidos, actualizados y con herramientas capaces de detectar cualquier actividad sospechosa antes de que sea demasiado tarde.
Desde TecnetOne, te ayudamos a fortalecer la defensa de tu empresa con soluciones de ciberseguridad diseñadas para anticiparse a las amenazas, no solo reaccionar a ellas.