El ecosistema del cibercrimen ruso continúa evolucionando con la aparición de CountLoader, un nuevo cargador de malware identificado recientemente por investigadores de ciberseguridad. Este loader, que ya se ha asociado con la entrega de herramientas de post-explotación como Cobalt Strike, AdaptixC2 y el troyano PureHVNC RAT, está siendo utilizado activamente por brokers de acceso inicial (IAB) y afiliados de ransomware vinculados a LockBit, Black Basta y Qilin.
CountLoader: un cargador multifuncional
De acuerdo con el análisis de la firma Silent Push, CountLoader aparece en tres versiones distintas:
-
.NET
-
PowerShell
-
JavaScript
Estas variantes le otorgan flexibilidad para desplegarse en diferentes entornos y con múltiples métodos de ejecución.
En campañas recientes, CountLoader se distribuyó mediante señuelos de phishing en PDF, haciéndose pasar por comunicaciones de la Policía Nacional de Ucrania. Asimismo, Kaspersky documentó previamente su versión PowerShell propagada a través de falsos señuelos vinculados con DeepSeek, diseñados para engañar a los usuarios e inducir la descarga del malware.
Capacidades avanzadas del malware
Uno de los aspectos más preocupantes de CountLoader es su complejidad técnica y amplitud funcional, especialmente en su versión JavaScript, considerada la más desarrollada.
Entre sus capacidades destacan:
-
Seis métodos de descarga: curl, PowerShell, MSXML2.XMLHTTP, WinHTTP.WinHttpRequest.5.1, bitsadmin y certutil.exe.
-
Tres métodos de ejecución de binarios maliciosos.
-
Identificación del dispositivo de la víctima mediante información del dominio de Windows.
-
Persistencia en el sistema a través de tareas programadas que simulan actualizaciones de Google Chrome.
-
Recolección de información del sistema y envío de metadatos a servidores remotos.
-
Ejecución de cargas útiles DLL y MSI usando rundll32.exe y msiexec.exe.
Además, CountLoader emplea Living-off-the-Land Binaries (LOLBins) como certutil y bitsadmin, lo que demuestra un profundo entendimiento del sistema operativo Windows y dificulta la detección por soluciones de seguridad tradicionales.
Uso de PureHVNC RAT y BrowserVenom
Las investigaciones revelan que CountLoader sirve como canal de distribución para el troyano PureHVNC RAT, desarrollado por el actor de amenazas conocido como PureCoder. Este malware es considerado un precursor de PureRAT o ResolverRAT, ampliamente comercializado en foros clandestinos.
Paralelamente, Kaspersky descubrió la implantación de BrowserVenom, un malware que reconfigura navegadores para forzar todo el tráfico de la víctima a través de un proxy controlado por los atacantes. Esto les permite interceptar comunicaciones, manipular tráfico y recopilar información sensible.
Señuelos y técnicas de ingeniería social
Una de las tácticas de distribución más usadas en las campañas de CountLoader es ClickFix, un método probado de ingeniería social. Según Check Point, los atacantes atraen a las víctimas con ofertas de empleo falsas, llevándolas a páginas de phishing que ejecutan código malicioso de PowerShell.
Este enfoque permite a los atacantes instalar PureHVNC RAT con relativa facilidad y obtener acceso remoto completo al sistema comprometido. Además, se observó el uso de repositorios rotativos en GitHub para alojar los archivos de soporte del malware, lo que dificulta la atribución directa y garantiza mayor resiliencia operativa.
Infraestructura y ecosistema criminal
CountLoader se respalda en una infraestructura de más de 20 dominios únicos, lo que le da redundancia y capacidad de evasión frente a bloqueos y derribos de servidores.
El análisis de commits en GitHub sugiere que parte de la actividad se originó desde la zona horaria UTC+03:00, la cual incluye a Rusia y países de Europa del Este.
Por su parte, investigaciones de DomainTools sobre el ecosistema ruso de ransomware han resaltado que estos actores no mantienen lealtad a una sola marca o grupo, sino que se reorganizan en función de las condiciones del mercado y de las operaciones de desmantelamiento. En este entorno, el capital humano —la experiencia de los desarrolladores y operadores— resulta más valioso que las propias familias de malware.
Riesgos para empresas y usuarios
La aparición de CountLoader confirma una tendencia clara en el cibercrimen: la modularidad y sofisticación de los loaders como pieza central de los ataques de ransomware. Estas herramientas permiten a los atacantes:
-
Ganar acceso inicial y establecer persistencia.
-
Desplegar múltiples cargas útiles en paralelo.
-
Redirigir tráfico y recolectar credenciales.
-
Preparar el terreno para ataques de ransomware dirigidos.
Organizaciones en sectores críticos, especialmente en Europa del Este y Latinoamérica, deben reforzar la concienciación frente al phishing, mantener políticas estrictas de parches y emplear soluciones de EDR y monitoreo de tráfico para detectar actividades sospechosas relacionadas con LOLBins y loaders como CountLoader.
En fin…
CountLoader representa una amenaza emergente con potencial global. Su capacidad de adoptar múltiples formas (.NET, PowerShell, JavaScript), distribuir malware comercial como PureHVNC RAT y Cobalt Strike, y utilizar tácticas de ingeniería social altamente efectivas lo convierte en una herramienta clave en el arsenal de las bandas de ransomware rusas.
La lección para empresas y usuarios es clara: el ransomware moderno no comienza con el cifrado de archivos, sino con loaders invisibles como CountLoader, que actúan como puerta de entrada a campañas más destructivas. Por ello, la prevención, el monitoreo continuo y la capacitación en ciberseguridad son elementos esenciales para reducir el riesgo.
Fuente: The Hacker News
