Setelah absen selama tujuh bulan, operasi malware Gootloader kembali aktif dengan taktik baru yang lebih canggih, memanfaatkan manipulasi hasil pencarian (SEO poisoning) untuk menyebarkan file berbahaya melalui situs web palsu.
Gootloader dikenal sebagai malware loader berbasis JavaScript yang didistribusikan lewat situs yang dikompromikan atau dikendalikan pelaku. Tujuannya adalah menipu pengguna agar mengunduh dokumen yang tampak sah, padahal mengandung skrip berbahaya.
Modus Operandi: SEO dan Situs Dokumen Palsu
Para pelaku menggunakan taktik search engine optimization (SEO) poisoning atau iklan berbayar agar situs mereka muncul di peringkat atas hasil pencarian untuk kata kunci populer seperti “kontrak kerja” atau “template perjanjian hukum.”
Situs palsu tersebut biasanya menampilkan halaman yang meniru forum atau repositori dokumen hukum gratis. Saat pengguna mengklik tombol “Get Document”, sistem akan memverifikasi keaslian pengunjung, lalu mengunduh arsip berisi file .js berbahaya—misalnya mutual_non_disclosure_agreement.js.
Ketika dijalankan, file tersebut mengeksekusi Gootloader yang kemudian mengunduh payload tambahan seperti Cobalt Strike, backdoor, atau bot untuk membuka akses awal ke jaringan perusahaan. Akses ini kerap dijual atau dimanfaatkan kelompok ransomware untuk serangan lanjutan.
Teknik Baru: Font Khusus dan Arsip Palsu
Dalam kampanye terbaru yang dipantau oleh peneliti dari Huntress Labs dan seorang peneliti independen “Gootloader”, varian baru ini memperkenalkan teknik penyamaran yang lebih sulit dideteksi.
Alih-alih menulis teks normal di kode HTML, pelaku kini menggunakan web font khusus yang mengganti bentuk huruf tanpa mengubah karakter aslinya. Akibatnya, teks di source code terlihat acak seperti “Oa9Z±h•”, namun di layar terbaca sebagai kata yang masuk akal seperti “Florida”.
“Font tersebut tampak sah secara metadata, tetapi jalur vektor tiap huruf ditukar sehingga karakter ‘O’ bisa menampilkan bentuk ‘F’ atau ‘a’ menjadi ‘l’. Ini membuat analisis otomatis gagal mengenali kata kunci seperti ‘invoice’ atau ‘contract’,” jelas Huntress.
Selain itu, peneliti dari DFIR Report menemukan bahwa pelaku kini menggunakan arsip ZIP yang rusak (malformed) untuk mengelabui alat keamanan. Arsip tersebut berisi dua file: satu skrip berbahaya (Review_Hearings_Manual_2025.js) dan satu file teks palsu. Windows Explorer akan mengekstrak file berbahaya, sementara alat seperti 7-Zip atau VirusTotal hanya melihat file teks aman.
Akses Jarak Jauh dan Ransomware
Setelah infeksi berhasil, sistem korban akan menerima payload tambahan berupa Supper SOCKS5 backdoor, alat yang memberi pelaku akses jarak jauh ke jaringan korban. Malware ini diketahui digunakan oleh afiliasi ransomware Vanilla Tempest, yang sebelumnya terkait dengan kelompok BlackCat, Zeppelin, Quantum Locker, dan Rhysida.
Dalam pengamatan Huntress, pelaku bergerak cepat — melakukan pemetaan sistem hanya dalam 20 menit dan menguasai Domain Controller dalam waktu kurang dari 17 jam.
Waspadai Template Dokumen Gratis di Internet
Dengan kembalinya Gootloader, pengguna individu maupun korporasi diimbau untuk berhati-hati saat mencari atau mengunduh template hukum, kontrak, maupun dokumen administratif dari internet.
Apabila situs tersebut tidak memiliki reputasi tepercaya atau tidak berasal dari sumber resmi, sebaiknya hindari mengunduh file arsip apa pun, terutama yang berformat .zip atau .js.