Nep-e-mails van Oekraïense politie verspreiden nieuwe CountLoader Malware Loader

Nieuw onderzoek van cybersecuritybedrijf Silent Push onthult dat Russische ransomwarebendes een nieuw type kwaadaardig programma gebruiken: CountLoader. Dit is geen gewone malware; het is een malwareloader.

Dit betekent dat de belangrijkste taak is om een ​​apparaat aan te vallen en andere, schadelijkere programma's te installeren, waaronder ransomware. Het fungeert in feite als een belangrijk toegangspunt voor grote cybercriminele groepen zoals LockBit , BlackBasta en Qilin , en geeft hen de eerste toegang die ze nodig hebben om hun aanvallen te lanceren.

De CountLoader-malwareloader wordt momenteel in drie verschillende versies geleverd, waaronder .NET, PowerShell en JScript. De analyse van Silent Push suggereert dat CountLoader een tool is die wordt gebruikt door Initial Access Brokers (IAB's, oftewel cybercriminelen die toegang tot gecompromitteerde netwerken verkopen) of door partners van de ransomwaregroepen zelf.

Het onderzoek belicht een recente campagne waarbij CountLoader werd gebruikt in phishingaanvallen gericht op mensen in Oekraïne. De hackers deden zich voor als de Oekraïense politie met een vals pdf-document als lokaas om slachtoffers ertoe te verleiden CountLoader te downloaden en te gebruiken.

In het blogbericht dat werd gedeeld met Hackread.com, merkte Silent Push op dat onderzoekers bij Kaspersky en Cyfirma weliswaar soortgelijke campagnes hadden ontdekt, maar dat ze slechts een deel van de volledige werking van de malware zagen.

Zo had het team van Kaspersky de PowerShell- versie in juni 2025 geobserveerd, terwijl Cyfirma geen details kon krijgen over het C2-domein (command and control): app-updaterapp .

Het onderzoek van Silent Push bracht echter het volledige beeld aan het licht. "Ons team identificeerde aanwijzingen voor verschillende andere unieke campagnes die gebruikmaakten van diverse andere lokmiddelen en targetingmethoden", aldus het bedrijf.

Om de malware te traceren, ontwikkelden onderzoekers een unieke vingerafdruk, een combinatie van technische details die helpt bij het identificeren van andere gerelateerde servers en domeinen. Tot nu toe hebben ze meer dan 20 unieke domeinen gevonden die door CountLoader worden gebruikt. Ze koppelden de malware ook aan specifieke digitale watermerken die in andere aanvallen werden gebruikt, wat de banden met de LockBit-, BlackBasta- en Qilin-groepen verder bevestigde.

De analyse van Silent Push onthulde aanvullende connecties met Russische cybercriminaliteit. Eén versie van de malware gebruikt een user agent die de Yandex-browser nabootst, een populaire zoekmachine in Rusland.

Dit detail, samen met het feit dat het gericht is op Oekraïense burgers, versterkt het vermoeden dat Russischtalige cybercriminelen achter de campagne zitten. Dit nieuwe onderzoek biedt een diepgaand inzicht in hoe Russische ransomware-groepen hun tactieken om netwerken te hacken en te compromitteren, nog verder uitbreiden.