Selon un article technique d’Aaron Walton (Threat intel, 15 janv. 2026), Gootloader — opérateur d’« accès initial » historiquement efficace — est réapparu fin 2025 et collabore à nouveau avec l’acteur Vanilla Tempest (lié à Rhysida). Le billet se concentre sur le premier étage: un ZIP malformé conçu pour l’anti-analyse et l’évasion.

• Le ZIP livrant un fichier JScript est volontairement non conforme: 500 à 1 000 archives ZIP concaténées, structure « End of Central Directory » tronquée de 2 octets, et champs non critiques aléatoires (Disk Number, Number of Disks), rendant l’archive illisible pour des outils comme 7-Zip/WinRAR mais parfaitement ouvrable avec l’extracteur natif Windows. Le fichier transmis sur le réseau est un blob XOR qui est décodé et auto-apposé côté navigateur jusqu’à une taille cible, compliquant la détection réseau et assurant un hashbusting (chaque victime reçoit un fichier unique).

• L’analyse montre des incohérences entre Local File Header et Central Directory (version to extract, heure de modification, CRC32, tailles compressée/non compressée, longueur et nom du fichier). Des archives observées pèsent p. ex. 76,1 Mo pour un contenu réel de ~287 Ko. Une règle YARA révèle >100 occurrences des signatures Local File Header et EOCD, confirmant la concaténation de centaines de ZIP pointant vers un même répertoire central durci.

• Détections et comportements remarquables: l’utilisateur ouvre le ZIP avec l’extracteur Windows puis double-clique le .js, ce qui lance wscript.exe depuis un répertoire temporaire. La persistance passe par des .LNK dans Startup redirigeant vers un 2e .LNK et un 2e JScript. L’exécution se fait via cscript.exe avec noms courts NTFS (FILENA~1.js), puis cscript → powershell → powershell avec forte obfuscation. Le billet propose une règle YARA ciblant ce format ZIP et recommande des détections centrées sur ces enchaînements de processus et l’exécution de scripts depuis %AppData%\Local\Temp.

• Mesures de durcissement (quand applicables): réassocier .js/.jse à Notepad via GPO (au lieu de WScript) et réduire/contraindre wscript.exe et cscript.exe si non requis. L’objectif est de casser le chemin d’exécution par double-clic et de mitiger l’accès initial.

• IOCs et TTPs extraits:

  • IOCs: nom de fichier observé « Indiana_Animal_Protection_Laws_Guide.js »; échantillon (SHA256) cité: b05eb7a367b5b86f8527af7b14e97b311580a8ff73f27eaa1fb793abb902dc6e.
  • TTPs: ZIP malformé (EOCD tronquée, champs disque aléatoires), concaténation de 500–1 000 ZIP, blob XOR décodé côté navigateur, hashbusting, mismatch CRC32 et métadonnées, exécution wscript depuis %Temp%, persistance via .LNK dans Startup, cscript avec nom court NTFS, chaîne cscript → powershell.

Type d’article: analyse de menace dont le but principal est d’exposer le format ZIP malformé de Gootloader et d’en dériver des détections pratiques (YARA et télémétrie de processus).

🧠 TTPs et IOCs détectés

TTP

ZIP malformé (EOCD tronquée, champs disque aléatoires), concaténation de 500–1 000 ZIP, blob XOR décodé côté navigateur, hashbusting, mismatch CRC32 et métadonnées, exécution wscript depuis %Temp%, persistance via .LNK dans Startup, cscript avec nom court NTFS, chaîne cscript → powershell

IOC

nom de fichier observé « Indiana_Animal_Protection_Laws_Guide.js »; échantillon (SHA256) cité: b05eb7a367b5b86f8527af7b14e97b311580a8ff73f27eaa1fb793abb902dc6e

🔗 Source originale : https://expel.com/blog/gootloaders-malformed-zip/