📅 Qui, quand, où ?

Fin 2024, les analystes d’IBM X-Force ont mis le doigt sur un nouveau joujou des cybercriminels : QuirkyLoader.
Un nom qui sonne presque sympathique, comme un petit utilitaire pratique. Sauf que dans la vraie vie, ce “loader” est tout sauf quirky (excentrique) : il est méthodique, efficace et sournois.
Depuis novembre 2024, il a déjà été repéré dans plusieurs campagnes, notamment :

Taïwan, avec des attaques ciblant Nusoft, une boîte locale de cybersécurité (ah, l’ironie du sort 🫠).
Mexique, où les campagnes sont plus larges, avec des livraisons massives de RATs.

En clair : un an à peine après son apparition, QuirkyLoader s’est déjà invité à la table des grands.

🎭 Qu’est-ce que c’est ?

Un loader. Rien de plus, rien de moins.
Son job ? Installer d’autres malwares : voleurs d’identifiants (infostealers), chevaux de Troie d’accès à distance (RATs), keyloggers… Bref, la boîte à outils de tout cybercriminel en télétravail.

Dit autrement : QuirkyLoader, c’est le chronopost des cyberattaques. Vous double-cliquez sur une pièce jointe douteuse et, hop, une palette complète de malwares est livrée directement sur votre poste. Livraison rapide, discrète et sans signature numérique.

🪤 Comment ça marche ?

QuirkyLoader n’a rien inventé, il a juste fait un remix malin de vieilles techniques.

📩 Étape 1 : le phishing. Un bel e-mail, un ZIP suspect, et vous avez déjà mis un pied dans le piège.
📂 Étape 2 : l’archive piégée. À l’intérieur ? Un exécutable parfaitement légitime, une DLL malicieuse, et une charge chiffrée.
🧩 Étape 3 : le DLL side-loading. L’exécutable “propre” charge sa petite DLL infectée en pensant bien faire.
🎭 Étape 4 : l’injection. La vraie charge utile est déchiffrée, puis injectée dans un processus système légitime. Résultat : Windows croit exécuter un utilitaire maison, alors qu’il est déjà compromis.

En résumé : QuirkyLoader, c’est l’art du camouflage numérique, et ça passe crème sur beaucoup de solutions de sécurité.

🧑‍💻 Pourquoi ça marche si bien ?

Parce que les créateurs ont ajouté deux ingrédients “cuisine fusion” qui font la différence :

🧬 Un loader en .NET compilé Ahead-of-Time (AOT) : ça ressemble à du C++ natif, et ça trompe les antivirus qui s’attendaient à analyser du bytecode classique.
🔑 Du chiffrement Speck-128 en mode CTR : un algo obscur, quasi jamais vu dans les malwares, utilisé pour cacher les charges utiles. Résultat : les chercheurs en sécurité ont un joli casse-tête à résoudre avant de comprendre ce qui se cache dedans.

👉 Bref, QuirkyLoader n’est pas original, mais il est rusé. Et en cybersécurité, ça suffit pour faire mal.

🐀 Ce qu’il livre à domicile

La liste des “produits livrés” par QuirkyLoader donne le ton :

🕵️ Agent Tesla : voleur d’infos en série.
🐍 Snake Keylogger : parfait pour surveiller vos frappes clavier.
📦 FormBook et MassLogger : des infostealers connus, très utilisés.
🎮 Remcos RAT et AsyncRAT : télécommande complète de votre PC, livrée directement à l’attaquant.

👉 QuirkyLoader n’est pas un malware à proprement parler : c’est un distributeur automatique de cybermerdes.

🌍 Ciblage et tendances

Les premières campagnes montrent deux choses :

🎯 Un ciblage chirurgical (ex. : Nusoft à Taïwan, clairement orienté espionnage).
🌪️ Un tir de barrage massif (ex. : campagnes mexicaines), plus opportunistes.

Moralité : que vous soyez une petite PME ou une entreprise de cybersécurité, vous êtes dans la ligne de mire.

🔎 Analyse approfondie de QuirkyLoader

1. Contexte général

Catégorie : loader malveillant
Découvert par : IBM X-Force (fin 2024)
Fonction principale : déposer d’autres malwares sur la machine (infostealers, RATs, keyloggers…).
Spécificité : combine anciennes techniques connues (DLL side-loading, process hollowing) avec innovations techniques (AOT .NET + Speck-128).

👉 Résultat : un malware qui brouille les pistes et échappe aux antivirus classiques.

2. La chaîne d’infection typique

a) L’e-mail piégé

Le vecteur d’entrée est un phishing avec une pièce jointe compressée (ZIP/RAR).
Dans l’archive :
1. un exécutable légitime (souvent signé, donc jugé “safe” par Windows).
2. une DLL malveillante (chargée en douce).
3. la charge utile chiffrée.

b) DLL side-loading

Le principe : détourner un exécutable légitime qui va chercher une DLL portant un nom précis.
Si l’attaquant place une fausse DLL dans le même dossier, l’exécutable la charge en priorité.
Résultat : l’utilisateur lance un logiciel légitime… qui devient un cheval de Troie.

3. Une innovation : le loader en .NET “AOT”

La DLL malveillante est codée en C# (.NET).
Mais l’attaquant la compile en Ahead-of-Time (AOT) → donc en code natif comme du C++.
Avantage :
- Beaucoup d’antivirus cherchent du bytecode .NET ou utilisent des décompilateurs (ILSpy, dnSpy).
- Ici, l’outil voit du natif et pense à un binaire “classique” → détection plus difficile.

4. Déchiffrement avec Speck-128

Une fois lancé, QuirkyLoader doit déchiffrer la vraie charge utile.
Il utilise Speck-128 en mode CTR :
- Un algorithme de chiffrement léger créé par la NSA en 2013.
- Rarement vu dans les malwares → ça complique l’analyse des chercheurs.
- Permet aussi d’échapper à la détection basée sur les signatures (puisque le payload n’est pas en clair dans le binaire).

5. Injection : le process hollowing

Une fois la charge déchiffrée, elle est injectée dans un processus légitime.
Étapes :
1. Lancer un processus Windows en mode suspendu (InstallUtil.exe, aspnet_wp.exe, etc.).
2. Vider la mémoire de ce processus (“hollowing”).
3. Écrire le malware à la place.
4. Relancer le processus → l’OS croit qu’il s’agit d’un programme Microsoft, mais il exécute du code malveillant.

👉 C’est une méthode classique des APT et très dure à repérer sans EDR.

6. Charges utiles livrées

IBM X-Force a déjà observé que QuirkyLoader sert à propager :

Infostealers : FormBook, MassLogger, Rhadamanthys, Snake Keylogger.
RATs (Remote Access Trojans) : Remcos, AsyncRAT.
Keyloggers : Agent Tesla.

👉 Un loader est comme un hub criminel : il ne fait pas les dégâts lui-même, mais amène la boîte à outils complètepour voler, espionner, persister.

7. Ciblages identifiés

Taïwan (2025) : employés de Nusoft ciblés avec Snake Keylogger → probablement espionnage industriel.
Mexique (2025) : campagnes plus massives, distribuant Remcos RAT + AsyncRAT.
Probable extension mondiale à venir, car la technique est adaptable.

8. Pourquoi c’est important ?

Polymorphisme : QuirkyLoader peut livrer n’importe quel malware → grande flexibilité.
Evasion : combinaison AOT .NET + Speck + hollowing → très difficile à analyser et détecter.
Ciblage varié : autant des attaques ciblées (Taiwan) que des campagnes massives (Mexique).
Signe d’évolution : les loaders deviennent aussi sophistiqués que les malwares qu’ils livrent.

9. Contre-mesures

Emails : renforcer les filtres anti-phishing, bloquer les archives exécutables.
EDR/XDR : surveiller l’exécution de process suspicieux (InstallUtil.exe avec injection mémoire).
Threat hunting : chercher les usages anormaux de Speck-128 ou de modules AOT inhabituels.
Formation utilisateurs : sensibilisation au phishing → c’est le point d’entrée.

👉 En résumé : QuirkyLoader n’est pas juste “un loader de plus”. C’est une nouvelle génération de loaders, qui mélange des techniques anciennes et modernes pour passer sous les radars et propager une boîte à outils de cybercriminels.

🔒 En conclusion

QuirkyLoader, c’est le parfait exemple du malware moderne :

Pas spectaculaire, pas révolutionnaire.
Mais pratique, modulable et quasi indétectable.

Le tout saupoudré d’un brin de créativité (AOT, Speck-128) et d’un bon vieux phish.
Résultat : un outil efficace, qui illustre encore une fois que dans la cybercriminalité, l’innovation consiste souvent à réarranger les vieilles casseroles pour les rendre indigestes aux antivirus.

🧨 QuirkyLoader : le nouveau “livreur Uber Eats” de malwares

Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com