LoaderClient — это вредоносный загрузчик, связанный с кампанией WeedHack Malware-as-a-Service (MaaS), который маскируется под мод Fabric для Minecraft и нацелен прежде всего на игроков. По данным отчета, malware не только крадет данные сессии и Microsoft OAuth-токены, но и использует необычный механизм управления command-and-control (C2), основанный на Ethereum. Атака построена по двухэтапной схеме. На первом этапе LoaderClient собирает учетные данные пользователя и обращается к smart contract Ethereum, чтобы получить активный адрес C2. После этого он загружает второй этап напрямую в память жертвы. Второй этап, по информации из отчета, скомпилирован с использованием Java Native Interface Compiler (JNIC) version 3.7.0. Это позволяет скрыть логику внутри нативного кода и затрудняет обнаружение стандартными средствами анализа. Одной из наиболее заметных особенностей LoaderClient стала техника EtherHiding. Вредоносное ПО использует smart contract Ethereum для динамического получения URL-ад