Un nuevo cargador de malware sigiloso denominado TinyLoader ha comenzado a proliferarse en los entornos de Windows, explotando las acciones de la red y los archivos de acceso directo engañosos para comprometer los sistemas de todo el mundo.
Detectado por primera vez a fines de agosto de 2025, TinyLoader instala múltiples cargas útiles secundarias, la mayoría de los robadores de línea roja y DCRAT, transformando máquinas infectadas en plataformas totalmente armadas para robo de credenciales, acceso remoto y secuestro de criptomonedas.
Los analistas han observado una escalada rápida en la implementación del cargador, con infecciones rastreadas a acciones de archivos corporativos, medios extraíbles y tácticas de ingeniería social que atraen a los usuarios desprevenidos a ejecutar binarios maliciosos.
Si bien los cargadores de malware no son una amenaza novedosa, TinyLoader se distingue a través de una combinación de movimiento lateral agresivo y mecanismos sofisticados de persistencia.
El acceso inicial se logra con frecuencia a través de las acciones de la red: el cargador escanea para los recursos de SMB abiertos, se replica como un archivo inocuo “update.exe” y actualiza las marcas de tiempo del directorio para evitar la detección.
Una vez ejecutado, se comunica inmediatamente con los servidores predefinidos de comando y control (C2) para descargar módulos adicionales.
Los investigadores de Hunt.io identificaron la infraestructura C2 temprana alojada en las direcciones IP 176.46.152.47 y 176.46.152.46 en Riga, Letonia, con nodos adicionales en el Reino Unido y Países Bajos, todos operados bajo un solo proveedor de alojamiento para racionalizar el despliegue.
Los analistas de Hunt.io señalaron que la interfaz de TinyLoader refleja los modernos paneles de malware como servicio, ofreciendo a los actores de amenaza un portal web intuitivo para la gestión de campañas.
El examen de la secuencia de recuperación de carga útil del cargador reveló seis URL codificadas con codificación que apuntan a binarios maliciosos, Bot.exe y ZX.exe entre ellas, que se guardan en el directorio temporal de Windows y se ejecutan sin interacción del usuario.
Este enfoque modular permite a los atacantes rotar las cargas útiles y el pivote a nuevas herramientas como los módulos de clipper de criptomonedas o los troyanos de acceso remoto con un mínimo esfuerzo de reurbanización.
Tras el estallido de infecciones, los equipos de seguridad se apresuraron a descubrir firmas de detección.
Panel de inicio de sesión de comando y control de TinyLoader (fuente-Hunt.io)
El panel de inicio de sesión de TinyLoader lleva una etiqueta de título HTML consistente:-
Iniciar sesión – TinyLoader
Esta cadena se convirtió en un indicador crítico para las búsquedas de rastreadores web, lo que permite a los defensores enumerar paneles C2 adicionales y bloquearlos preventivamente.
Resultados de Hunt.io Scan (fuente – Hunt.io)
Los resultados del escaneo de Hunt.io para la dirección IP sospechosa 176.46.152.47 ilustra el descubrimiento inicial que desencadenó un mapeo de infraestructura adicional.
Mecanismo de infección: propagación de compartir la red y atajos falsos
El vector de infección principal de TinyLoader aprovecha tanto el intercambio de archivos de red como la ingeniería social a través de atajos falsos de Windows.
Al obtener privilegios administrativos, el cargador se inyecta en el registro de Windows para secuestrar.
Windows Registry Editor Versión 5.00 (hkey_classes_root \ txtfile \ shell \ open \ command) @= “\”%Systemroot%\\ System32 \\ cmd (.) Exe \ ” /c Start \” \ “\” c: \\ Windows \\ System32 \\ Update.exe \ “\”%1 \ “” ”
Esta modificación garantiza que cualquier intento de abrir un archivo de texto inicie en silencio primero TinyLoader, antes de mostrar el documento legítimo.
Al mismo tiempo, el malware escanea las acciones de la red de escritura, copiando tanto “update.exe” como archivos de acceso directo malicioso llamados “Documents Backup.lnk”.
Cuando estos atajos se hacen doble clic, ejecutan TinyLoader mientras se disfrazan de una utilidad de copia de seguridad fácil de usar.
Atajo de escritorio falso utilizado para ingeniería social (fuente – Hunt.io)
Mientras que el atajo de escritorio falso mencionado anteriormente utilizado para la ingeniería social, ejemplifica esta táctica.
El cargador también se dirige a los medios extraíbles: cada inserción USB desencadena la replicación de TinyLoader bajo nombres atractivos como “Photo.jpg.exe”.
Un archivo Autorun.inf que lo acompaña garantiza la ejecución del próximo host, perpetuando el ciclo de infección.
Juntas, estas técnicas crean un mecanismo de propagación resistente que abarca redes locales y empresariales, lo que hace que TinyLoader sea excepcionalmente difícil de erradicar una vez establecido.
Se insta a los defensores a monitorear los cambios del registro que afectan las asociaciones de archivos, implementan políticas que restringen la creación ejecutable en las acciones de la red e inspeccionan los archivos de acceso directo para obtener objetivos inusuales.
Al combinar la detección basada en la firma del panel “Iniciar sesión-TinyLoader” con el monitoreo conductual de la actividad automática, los equipos de seguridad pueden mitigar la rápida propagación de esta amenaza emergente.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
