📅 Source : Gen Digital Blog (gendigital.com), publié le 10 juin 2026, par Vojtěch Krejsa, Threat Researcher at Gen.

Contexte

GoFlateLoader est un loader écrit en Go (Golang), suivi activement par Gen Threat Labs depuis début avril 2026. Malgré une conception technique simple, il est largement distribué : plus de 33 000 utilisateurs uniques ont été protégés depuis avril 2026, principalement au Brésil, Inde, Argentine, Mexique, Turquie et Espagne.

Mécanisme technique

Le loader réalise un chargement manuel de PE en mémoire selon le flux suivant :

  • Copie du blob encodé depuis la section .rdata vers la pile
  • Décodage multi-étapes par transformation byte-level personnalisée
  • Parsing des en-têtes PE du payload décodé
  • Allocation d’une région mémoire RWX via VirtualAlloc (MEM_COMMIT | MEM_RESERVE | PAGE_EXECUTE_READWRITE)
  • Mapping du PE en mémoire (headers + sections)
  • Application des relocations si nécessaire
  • Résolution des imports via LoadLibrary / GetProcAddress
  • Transfert d’exécution via syscall.Syscall utilisé comme call gate (avec arguments hardcodés 1, 2, 3, 4)

Le payload n’est jamais écrit sur le disque. Le loader ne dispose d’aucun mécanisme anti-debug, anti-VM, sandbox evasion, API hashing ou obfuscation CFG.

Technique d’évasion principale : overlay PE gonflé

La caractéristique distinctive est l’ajout d’un overlay PE massif (typiquement 700–950 Mo), rempli d’octets nuls ou de padding aléatoire. Cette inflation vise à :

  • Dépasser les limites de taille des scanners AV/EDR
  • Provoquer des timeouts dans les pipelines d’analyse automatisée
  • Contourner la limite stricte de 650 Mo de VirusTotal (GoFlateLoader se situe systématiquement juste au-dessus)

L’overhead de distribution est négligeable car les données constantes se compressent très efficacement.

Payloads distribués

GoFlateLoader existe en variantes x86 (32-bit) et x86-64 (64-bit), chacune adaptée à l’architecture du payload cible. Les infostealers distribués incluent :

  • Amatera, Remus, Lumma (les plus prévalents)
  • Vidar, StealC, SvitStealer

Vecteurs de distribution

  1. Logiciels crackés (faux cracks)
  2. TDS malveillant documenté par Check Point Research : redirection vers une landing page servant une archive protégée par mot de passe (le mot de passe est affiché séparément sur la page, compliquant l’analyse automatisée)

Type d’article

Publication de recherche technique à visée CTI, documentant un loader actif, ses mécanismes d’évasion, ses payloads associés et ses IoCs.

🧠 TTPs et IOCs détectés

TTP

  • T1027.001 — Obfuscated Files or Information: Binary Padding (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1055.002 — Process Injection: Portable Executable Injection (Defense Evasion)
  • T1620 — Reflective Code Loading (Defense Evasion)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1574 — Hijack Execution Flow (Defense Evasion)
  • T1553 — Subvert Trust Controls (Defense Evasion)
  • T1036 — Masquerading (Defense Evasion)
  • T1189 — Drive-by Compromise (Initial Access)
  • T1204.002 — User Execution: Malicious File (Execution)

IOC

  • SHA256 : b88c5744975d2abb447aecc6c090fee9f8580413f4612eecdc6ed1973e8a1739VT · MalwareBazaar
  • SHA256 : ed5ae7f36453c5a23e9868a5729d67e0549a11f6dea54f5f52d654a8f51d4902VT · MalwareBazaar
  • SHA256 : 841c9297cb8a2e0ff89433d13c05bfc760eb2e98e251cb8fa785d2ad7cbac05fVT · MalwareBazaar
  • SHA256 : ece7c48eb411b24f26762ede83badb4a644c41d5777129381ac2541804d64fc2VT · MalwareBazaar
  • SHA256 : 421ce2d2f49c23bbe9f60ef3b9cd38d7eb912ce02e56a61837656210069bd9e2VT · MalwareBazaar
  • SHA256 : 121c2dc793b3873f75a29ec02241f94136de19c049382a50a50d0d5b99507073VT · MalwareBazaar
  • SHA256 : 2415db5081cec9bfd14ad6da1a66169fd96f13a49010c319a73d1ed6fafd4efaVT · MalwareBazaar
  • SHA256 : d9917ade3b4c125a95b5d3e6343cde26145dfbf569bd7e2a843fd0c6fc8ddc28VT · MalwareBazaar
  • SHA256 : 4cf6893756f441522b94b36f10e5de0e47aeed4743f95c51650746d1ecf97e3dVT · MalwareBazaar
  • SHA256 : 8b89d6c9152d3aab97aadd515ecb69ca72654db2f25425759ba4b646853d737dVT · MalwareBazaar
  • SHA256 : 90ce4ff9da23ac150da0a8e17930cab1e369aa349fdc1b65691b70369145664aVT · MalwareBazaar

Malware / Outils

  • GoFlateLoader (loader)
  • Amatera (stealer)
  • Remus (stealer)
  • Lumma (stealer)
  • Vidar (stealer)
  • StealC (stealer)
  • SvitStealer (stealer)

🟢 Indice de vérification factuelle : 67/100 (haute)

  • ⬜ gendigital.com — source non référencée (0pts)
  • ✅ 11632 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 11 IOCs dont des hashes (15pts)
  • ✅ 2/3 IOCs confirmés (MalwareBazaar, ThreatFox, VirusTotal) (12pts)
  • ✅ 10 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • ed5ae7f36453c5a2… (sha256) → VT (29/76 détections)
  • 841c9297cb8a2e0f… (sha256) → VT (27/76 détections)

🔗 Source originale : https://www.gendigital.com/blog/insights/research/goflateloader-delivers-multiple-infostealers