De retour fin 2025, Gootloader change de tactique. Le malware s’appuie désormais sur une archive ZIP volontairement malformée pour faire trébucher les outils d’analyse, sans jamais empêcher l’exécution du script malveillant qu’elle transporte.