L'ecosistema delle minacce informatiche registra un preoccupante ritorno: l'operazione di malware Gootloader è ricomparsa dopo sette mesi di assenza, riproponendo tecniche di SEO poisoning raffinate e archivi ZIP modificati per distribuire payload malevoli attraverso falsi siti di template di documenti legali. La campagna, attiva dal marzo 2025, rappresenta un'evoluzione tecnica significativa rispetto alle iterazioni precedenti, con oltre 100 siti web compromessi e migliaia di keyword uniche utilizzate per scalare i risultati dei motori di ricerca.
Gootloader è un loader basato su JavaScript che sfrutta siti compromessi o controllati direttamente dagli attaccanti per ingannare gli utenti nella fase di download. Il meccanismo d'attacco si concentra sulla ricerca organica: quando un utente cerca termini come "NDA template" o "mutual agreement document", i risultati posizionati artificialmente mediante SEO poisoning o pubblicità malevole conducono a piattaforme fasulle che simulano repository di documenti legali gratuiti. Il click sul pulsante "Get Document" attiva un controllo di legittimità dell'utente e, se superato, scarica un archivio ZIP contenente un file con estensione .js mascherato da documento Word.
La catena d'infezione si completa all'esecuzione dello script JavaScript, che funge da dropper per payload aggiuntivi quali Cobalt Strike, backdoor personalizzate e bot per initial access a reti aziendali. Questi accessi vengono poi monetizzati da threat actor affiliati per il deployment di ransomware, o per attività di esfiltrazione dati. L'operazione Gootloader si era improvvisamente interrotta il 31 marzo 2025, presumibilmente a seguito delle attività di disruption condotte da un ricercatore indipendente specializzato nel tracking dell'operazione e nella compilazione di report di violazioni presso ISP e provider di hosting.
La nuova campagna introduce tecniche di evasione sofisticate per contrastare l'analisi automatizzata. Huntress Labs ha documentato l'utilizzo di web font personalizzati con glyph swapping: anziché impiegare tabelle di sostituzione OpenType standard, il malware modifica direttamente i path vettoriali dei caratteri. Nel codice HTML sorgente appare una stringa apparentemente casuale come "Oa9Z±h•", ma quando renderizzata dal browser la font sostituisce ogni glyph con forme differenti, visualizzando testo leggibile come "Florida". Questa tecnica inganna i sistemi di security che analizzano il codice sorgente alla ricerca di keyword sospette come "invoice" o "contract".
Il DFIR Report ha individuato un'ulteriore innovazione nella delivery chain: archivi ZIP malformati progettati per comportarsi diversamente a seconda del tool di estrazione utilizzato. Quando decompresso con Windows Explorer nativo, l'archivio estrae un file JavaScript malevolo denominato "Review_Hearings_Manual_2025.js". Lo stesso identico file, se processato da 7-Zip, utilità Python o sandbox come VirusTotal, estrae invece un benigno "Review_Hearings_Manual_202.txt". L'analisi con editor esadecimali come 010 Editor rivela che l'archivio contiene effettivamente entrambi i file, ma sfrutta malformazioni strutturali per influenzare il comportamento dell'algoritmo di decompressione.
Il payload finale distribuito nella campagna corrente è il backdoor Supper SOCKS5, malware specializzato nell'accesso remoto a dispositivi compromessi. Questo strumento è storicamente associato al threat actor Vanilla Tempest, per cui sono documentate collaborazioni con operazioni ransomware quali Inc, BlackCat, Quantum Locker, Zeppelin e Rhysida. Le telemetrie di Huntress evidenziano una timeline d'attacco estremamente compressa: riconoscimento iniziato entro 20 minuti dall'infezione e compromissione del Domain Controller raggiunta in 17 ore, dimostrando un livello operativo sofisticato e altamente automatizzato.
L'implicazione immediata riguarda la superficie d'attacco esposta attraverso ricerche organiche su Google.it e altri motori localizzati. La direttiva NIS2 e le normative GDPR impongono obblighi di notifica breach entro 72 ore, rendendo questi attacchi particolarmente critici per PMI e studi professionali che frequentemente ricercano template contrattuali online. Le soluzioni EDR e XDR dovrebbero implementare detection specifiche per file JavaScript scaricati da domini recenti o con certificati SSL sospetti, mentre i firewall aziendali dovrebbero bloccare l'esecuzione di script .js da percorsi di download utente.
Il panorama futuro rimane incerto: la resilienza dimostrata dall'operazione Gootloader nel riemergere dopo mesi suggerisce infrastrutture distribuite e grandi capacità operative. L'adozione di tecniche anti-analisi come glyph swapping e archivi malformati indica investimenti in ricerca e sviluppo tipici di operazioni cybercriminali ben finanziate.
