Dans une nouvelle analyse effectuée par les chercheurs Trellix, il a été constaté que GuLoader se propage de manière agressive, ciblant particulièrement les secteurs de l’e-commerce en Corée du Sud et aux Etats-Unis.

Cette recherche récence de multiples exemples d’archives utilisés par les acteurs de la menace pour inciter les utilisateurs à ouvrir une pièce jointe. Il se concentre notamment sur la façon de livrer le GuLoader via NSIS, un système open-source utilisé pour développer des installateurs Windows, et la manière dont ce malware permet aux cybercriminels d’éviter plus facilement les systèmes de sécurité.

Selon les chercheurs, le code NSIS et le shellcode du GuLoader étaient plus simples en février 2022. Cependant, le script NSIS est devenu plus obfusqué vers la fin de l’année. La migration du shellcode GuLoader vers les fichiers exécutables NSIS est un exemple notable qui montre la créativité et la persistance des acteurs de la menace pour échapper à la détection des systèmes de sécurité.