📅 Qui, quand, où ?

Fin 2024, les analystes d’IBM X-Force ont mis le doigt sur un nouveau joujou des cybercriminels : QuirkyLoader.
Un nom qui sonne presque sympathique, comme un petit utilitaire pratique. Sauf que dans la vraie vie, ce “loader” est tout sauf quirky (excentrique) : il est méthodique, efficace et sournois.
Depuis novembre 2024, il a déjà été repéré dans plusieurs campagnes, notamment :

• Taïwan, avec des attaques ciblant Nusoft, une boîte locale de cybersécurité (ah, l’ironie du sort 🫠).
• Mexique, où les campagnes sont plus larges, avec des livraisons massives de RATs.

En clair : un an à peine après son apparition, QuirkyLoader s’est déjà invité à la table des grands.

🎭 Qu’est-ce que c’est ?

Un loader. Rien de plus, rien de moins.
Son job ? Installer d’autres malwares : voleurs d’identifiants (infostealers), chevaux de Troie d’accès à distance (RATs), keyloggers… Bref, la boîte à outils de tout cybercriminel en télétravail.

Dit autrement : QuirkyLoader, c’est le chronopost des cyberattaques. Vous double-cliquez sur une pièce jointe douteuse et, hop, une palette complète de malwares est livrée directement sur votre poste. Livraison rapide, discrète et sans signature numérique.

🪤 Comment ça marche ?

QuirkyLoader n’a rien inventé, il a juste fait un remix malin de vieilles techniques.

• 📩 Étape 1 : le phishing. Un bel e-mail, un ZIP suspect, et vous avez déjà mis un pied dans le piège.
• 📂 Étape 2 : l’archive piégée. À l’intérieur ? Un exécutable parfaitement légitime, une DLL malicieuse, et une charge chiffrée.
• 🧩 Étape 3 : le DLL side-loading. L’exécutable “propre” charge sa petite DLL infectée en pensant bien faire.
• 🎭 Étape 4 : l’injection. La vraie charge utile est déchiffrée, puis injectée dans un processus système légitime. Résultat : Windows croit exécuter un utilitaire maison, alors qu’il est déjà compromis.

En résumé : QuirkyLoader, c’est l’art du camouflage numérique, et ça passe crème sur beaucoup de solutions de sécurité.

🧑‍💻 Pourquoi ça marche si bien ?

Parce que les créateurs ont ajouté deux ingrédients “cuisine fusion” qui font la différence :

• 🧬 Un loader en .NET compilé Ahead-of-Time (AOT) : ça ressemble à du C++ natif, et ça trompe les antivirus qui s’attendaient à analyser du bytecode classique.
• 🔑 Du chiffrement Speck-128 en mode CTR : un algo obscur, quasi jamais vu dans les malwares, utilisé pour cacher les charges utiles. Résultat : les chercheurs en sécurité ont un joli casse-tête à résoudre avant de comprendre ce qui se cache dedans.

👉 Bref, QuirkyLoader n’est pas original, mais il est rusé. Et en cybersécurité, ça suffit pour faire mal.

🐀 Ce qu’il livre à domicile

La liste des “produits livrés” par QuirkyLoader donne le ton :

• 🕵️ Agent Tesla : voleur d’infos en série.
• 🐍 Snake Keylogger : parfait pour surveiller vos frappes clavier.
• 📦 FormBook et MassLogger : des infostealers connus, très utilisés.
• 🎮 Remcos RAT et AsyncRAT : télécommande complète de votre PC, livrée directement à l’attaquant.

👉 QuirkyLoader n’est pas un malware à proprement parler : c’est un distributeur automatique de cybermerdes.

🌍 Ciblage et tendances

Les premières campagnes montrent deux choses :

• 🎯 Un ciblage chirurgical (ex. : Nusoft à Taïwan, clairement orienté espionnage).
• 🌪️ Un tir de barrage massif (ex. : campagnes mexicaines), plus opportunistes.

Moralité : que vous soyez une petite PME ou une entreprise de cybersécurité, vous êtes dans la ligne de mire.

🔎 Analyse approfondie de QuirkyLoader

1. Contexte général

• Catégorie : loader malveillant
• Découvert par : IBM X-Force (fin 2024)
• Fonction principale : déposer d’autres malwares sur la machine (infostealers, RATs, keyloggers…).
• Spécificité : combine anciennes techniques connues (DLL side-loading, process hollowing) avec innovations techniques (AOT .NET + Speck-128).

👉 Résultat : un malware qui brouille les pistes et échappe aux antivirus classiques.

2. La chaîne d’infection typique

a) L’e-mail piégé

• Le vecteur d’entrée est un phishing avec une pièce jointe compressée (ZIP/RAR).
• Dans l’archive :
  1. un exécutable légitime (souvent signé, donc jugé “safe” par Windows).
  2. une DLL malveillante (chargée en douce).
  3. la charge utile chiffrée.

b) DLL side-loading

• Le principe : détourner un exécutable légitime qui va chercher une DLL portant un nom précis.
• Si l’attaquant place une fausse DLL dans le même dossier, l’exécutable la charge en priorité.
• Résultat : l’utilisateur lance un logiciel légitime… qui devient un cheval de Troie.

3. Une innovation : le loader en .NET “AOT”

• La DLL malveillante est codée en C# (.NET).
• Mais l’attaquant la compile en Ahead-of-Time (AOT) → donc en code natif comme du C++.
• Avantage :
  • Beaucoup d’antivirus cherchent du bytecode .NET ou utilisent des décompilateurs (ILSpy, dnSpy).
  • Ici, l’outil voit du natif et pense à un binaire “classique” → détection plus difficile.

4. Déchiffrement avec Speck-128

• Une fois lancé, QuirkyLoader doit déchiffrer la vraie charge utile.
• Il utilise Speck-128 en mode CTR :
  • Un algorithme de chiffrement léger créé par la NSA en 2013.
  • Rarement vu dans les malwares → ça complique l’analyse des chercheurs.
  • Permet aussi d’échapper à la détection basée sur les signatures (puisque le payload n’est pas en clair dans le binaire).

5. Injection : le process hollowing

• Une fois la charge déchiffrée, elle est injectée dans un processus légitime.
• Étapes :
  1. Lancer un processus Windows en mode suspendu (InstallUtil.exe, aspnet_wp.exe, etc.).
  2. Vider la mémoire de ce processus (“hollowing”).
  3. Écrire le malware à la place.
  4. Relancer le processus → l’OS croit qu’il s’agit d’un programme Microsoft, mais il exécute du code malveillant.

👉 C’est une méthode classique des APT et très dure à repérer sans EDR.

6. Charges utiles livrées

IBM X-Force a déjà observé que QuirkyLoader sert à propager :

• Infostealers : FormBook, MassLogger, Rhadamanthys, Snake Keylogger.
• RATs (Remote Access Trojans) : Remcos, AsyncRAT.
• Keyloggers : Agent Tesla.

👉 Un loader est comme un hub criminel : il ne fait pas les dégâts lui-même, mais amène la boîte à outils complètepour voler, espionner, persister.

7. Ciblages identifiés

• Taïwan (2025) : employés de Nusoft ciblés avec Snake Keylogger → probablement espionnage industriel.
• Mexique (2025) : campagnes plus massives, distribuant Remcos RAT + AsyncRAT.
• Probable extension mondiale à venir, car la technique est adaptable.

8. Pourquoi c’est important ?

• Polymorphisme : QuirkyLoader peut livrer n’importe quel malware → grande flexibilité.
• Evasion : combinaison AOT .NET + Speck + hollowing → très difficile à analyser et détecter.
• Ciblage varié : autant des attaques ciblées (Taiwan) que des campagnes massives (Mexique).
• Signe d’évolution : les loaders deviennent aussi sophistiqués que les malwares qu’ils livrent.

9. Contre-mesures

• Emails : renforcer les filtres anti-phishing, bloquer les archives exécutables.
• EDR/XDR : surveiller l’exécution de process suspicieux (InstallUtil.exe avec injection mémoire).
• Threat hunting : chercher les usages anormaux de Speck-128 ou de modules AOT inhabituels.
• Formation utilisateurs : sensibilisation au phishing → c’est le point d’entrée.

👉 En résumé : QuirkyLoader n’est pas juste “un loader de plus”. C’est une nouvelle génération de loaders, qui mélange des techniques anciennes et modernes pour passer sous les radars et propager une boîte à outils de cybercriminels.

🔒 En conclusion

QuirkyLoader, c’est le parfait exemple du malware moderne :

• Pas spectaculaire, pas révolutionnaire.
• Mais pratique, modulable et quasi indétectable.

Le tout saupoudré d’un brin de créativité (AOT, Speck-128) et d’un bon vieux phish.
Résultat : un outil efficace, qui illustre encore une fois que dans la cybercriminalité, l’innovation consiste souvent à réarranger les vieilles casseroles pour les rendre indigestes aux antivirus.

Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com