Az Olymp Loader egy 2025 júniusában felbukkant új Malware-as-a-Service (MaaS), amely botnet-prototípusból gyorsan egy teljes értékű, assembly-nyelven megírt loader és crypter platformmá fejlődött, elsősorban ”pályakezdő” és középhaladó kiberbűnözők számára.
Az Outpost24 azt állítja, hogy a kód teljesen assemblyben íródott, FUD-ként hirdetik (teljesen észrevehetetlenként), és olyan technikákat kínál, amelyek a védelmi mechanizmusok kijátszására és a perzisztencia kialakítására szolgálnak: modulok mély XOR-titkosítása, egyedi shellcode-inicializációja, automatikus indítása, agresszív UAC-flood-dal jogosultság növelés, Windows Defender engedélyezett alkalmazásokhoz való hozzáadása, valamint minden modulja és a stubok is érvényes tanúsítványokkal vannak ellátva.
A platform több playload-típust is támogat (x86, x64, .NET, Java, natív kártevő csomagok), és változó bináris méretekkel (12-70 MB) legitim programokba történő code-cave injektálást használ, kompatibilitást ígér a LummaC2-vel és más native stealer-ekkel. Terjesztési csatornái között hamis Node.js telepítők GitHubon, Pay-Per-Install szolgáltatások (például Amadey), és legitim eszközöket utánzó rosszindulatú futtatható fájlok szerepelnek. Gyakran hamisítanak márkaneveket és kölcsönzött tanúsítványokat használnak az álcázáshoz.
Az Outpost24 vizsgálata szerint az Olymp mint indítóplatform főként commodity malware-t terjesztett: a minták 46%-a LummaC2-t, 31% WebRAT-hez tartozó futtatható fájlokat, 15% QasarRAT-ot és 8% Raccoon-t szállított, továbbá beépített stealer modulokat is kínál (böngészők, Telegram, kripto tárcák exfiltrálása – például az egyik modul leállítja a Telegramot, képernyőképeket készít és proxyn keresztül küldi el az adatokat). Az árszabás 50 és 200 USD között mozog, ami a szolgáltatás professzionalizmusát jelzi.
A projekt nemcsak loadert, hanem botnetet, cryptert, telepítési szolgáltatást és antivírus-tesztelő eszközt is tartalmaz, vagyis komplett „csomagot” kínál. Összességében az Olymp Loader jól tükrözi a kiberbűnözés iparosodását: kulcsrakész, támogatott és folyamatosan fejlesztett eszközként jelentősen lecsökkenti a belépési küszöböt a kevésbé tapasztalt támadók számára, és így gyorsíthatja a commodity malware kampányok világszintű elterjedését.
