Fileless Malware Loader (PowerShell)

Fileless Loader — PowerShell In-Memory Execution

Script PowerShell que implementa carga y ejecución de payloads completamente en memoria:

• Download cradle — IEX(IWR), Net.WebClient, System.Net.Http.HttpClient — tres métodos de descarga con fallback automático.
• AMSI Bypass — Patch en memoria de AmsiScanBuffer para deshabilitar el escaneo de scripts. Técnica de Matt Graeber actualizada para 2025.
• Reflective PE Loading — Carga un EXE/DLL en memoria del proceso PowerShell usando [System.Reflection.Assembly]::Load().
• .NET Assembly execution — Ejecuta assemblies .NET directamente en memoria sin tocar disco.
• Shellcode runner — VirtualAlloc + Marshal.Copy + CreateThread para ejecución de shellcode raw en el proceso PowerShell.
• Obfuscación básica — String concatenation, variable renaming, tick insertion para bypass de firmas estáticas.

Nota: Para evasión de EDR avanzado, combinar con ETW patching y syscall directo de la categoría Evasion.