Cybersecurityonderzoekers hebben details bekendgemaakt over een nieuwe campagne die de informatiedief CastleStealer verspreidt via een tot nu toe onbekende malware-loader genaamd OXLOADER. Volgens Elastic Security Labs start de campagne met malafide Google Ads om de malware te verspreiden. De dreigingsactor lijkt Russischsprekend en financieel gemotiveerd, wat blijkt uit expliciete uitsluitingen om systemen in de Gemenebest van Onafhankelijke Staten (GOS) niet te infecteren. De campagne is gecodeerd als REF8372.

De loader maakt gebruik van meerdere lagen van obfuscatie, waaronder control-flow flattening, opaque predicates en mixed Boolean-Arithmetic, evenals zelf-aanpassende decryptiestubben en misbruik van de Windows .reloc-sectie om shellcode te laden, aldus onderzoekers Daniel Stepanic en Jia Yu Chan in een technische analyse. De aanval begint wanneer gebruikers zoekopdrachten invoeren zoals "lts version of node.js" in zoekmachines als Google, waarna ze worden doorgestuurd naar een nepwebsite (node-js[.]prentiva99[.]info) die via valse advertenties wordt gepromoot onder de naam "ВОЛОДИМИР ТЕРЕЩЕНКО", zogenaamd gevestigd in Oekraïne. Het is onbekend of dit advertentieaccount daadwerkelijk aan de dreigingsactor toebehoort of een front- of gekocht account is. Op 14 mei 2026 zijn het account en de advertenties door Google verwijderd.

Bezoekers van de site krijgen een batchscript aangeboden dat gehost wordt op Storj, een gedecentraliseerd, open-source cloudopslagplatform. Het misbruik van Storj toont opnieuw aan hoe dreigingsactoren legitieme diensten inzetten om detectie via domeinreputatie te omzeilen. Het batchscript toont een valse installatie-wizard terwijl het in stilte een volgende payload downloadt, een Storj-gehoste uitvoerbare OXLOADER via een PowerShell-commando, die met verhoogde rechten wordt uitgevoerd om een Windows User Account Control (UAC) prompt te activeren.

Vervolgens gebruikt de aanval DLL side-loading om een kwaadaardige DLL te starten, die de CastleStealer payload ontsleutelt en uitvoert. OXLOADER past technieken toe zoals control-flow flattening en mixed Boolean-Arithmetic om statische detectie te ontwijken en controleert of het niet in een sandbox-omgeving draait. CastleStealer is een .NET-informatiedief die recentelijk werd verspreid via CastleLoader, een malware die wordt toegeschreven aan de dreigingsgroep GrayBravo. Deze werd eerder verspreid met een ClickFix-achtige lokker die zich voordeed als gratis beeldbewerkingssoftware in een campagne met de codenaam BackgroundFix.

Elastic Security Labs benadrukt dat OXLOADER zich nog in een vroege operationele fase bevindt, maar dat de technische uitwerking wijst op een malwarefamilie die nauwlettend gevolgd moet worden. De combinatie van code-obfuscatie, anti-VM maatregelen, onschuldig ogende code en unieke staging-technieken zijn bewust ontworpen om analyse te bemoeilijken. Deze investering resulteert in lage detectiecijfers bij statische scanners en detonatieruns, waardoor OXLOADER een tijdsvenster krijgt om onopgemerkt te opereren.