Loader

Un loader es un componente especializado de primera fase cuya tarea principal es obtener, decodificar y ejecutar malware adicional en memoria, normalmente mediante inyección reflectiva de DLL, process hollowing o shellcode. Suele hacer un perfilado del host, desactivar defensas y establecer persistencia antes de ceder el control a la siguiente fase. Los loaders son centrales en los ecosistemas "malware-as-a-service", donde los brokers de acceso venden instalaciones a afiliados de ransomware o info-stealers. Las defensas incluyen EDR/XDR con detección de inyección por comportamiento, AMSI, Constrained Language Mode en PowerShell, allow-listing e inteligencia de amenazas sobre familias como IcedID, Smoke Loader o Bumblebee.