Un loader .NET è una fase di malware scritta in codice gestito che può recuperare, decrittare o caricare componenti aggiuntivi in fase di esecuzione. Invece di contenere il payload completo in un unico binario, agisce come un wrapper flessibile che assembla la fase successiva solo quando necessario. Poiché .NET supporta il caricamento dinamico degli assembly e un comportamento ricco a runtime, gli aggressori possono mantenere il file iniziale più piccolo, più difficile da ispezionare e più facile da modificare.
Questo è importante nella sicurezza informatica perché i loader spesso si collocano tra la consegna e l'esecuzione del payload finale. In attacchi reali, possono avviarsi in memoria, rilasciare o scaricare moduli e poi passare il controllo a un implant, a un ransomware o a un ladro di credenziali più capace. I difensori cercano caricamenti sospetti a runtime, processi figlio inattesi, esecuzione solo in memoria e process hollowing, poiché questi comportamenti spesso rivelano un loader anche quando il file in sé sembra ordinario.