Se han identificado cuatro clústeres diferentes de actividad de amenazas que utilizan un cargador de malware denominado CastleLoader, lo cual refuerza la evaluación inicial de que esta herramienta está disponible para otros actores maliciosos a través de un modelo de malware como servicio (MaaS).

El grupo Insikt de Recorded Future, que anteriormente lo identificaba como TAG-150, ha nombrado GrayBravo al actor de amenazas responsable de CastleBot (o CastleLoader).

GrayBravo se distingue por sus ágiles ciclos de desarrollo, su sofisticación técnica, su capacidad de respuesta a informes públicos y una infraestructura vasta y siempre en evolución, según un análisis publicado hoy por la empresa de Mastercard.

Entre las herramientas más relevantes del conjunto del actor de amenazas se incluyen un troyano de acceso remoto llamado CastleRAT y un framework de malware conocido como CastleBot, que consta de tres componentes: un instalador/descargador de shellcode, un cargador y una puerta trasera principal.

El cargador CastleBot se encarga de inyectar el módulo principal, que está diseñado para comunicarse con su servidor de comando y control (C2) para recibir instrucciones que le permiten descargar y ejecutar cargas útiles en formatos DLL, EXE y PE (ejecutables portátiles). Algunas de las familias de malware distribuidas a través de este framework son
DeerStealer,
RedLine Stealer,
StealC Stealer,
NetSupport RAT,
SectopRAT,
MonsterV2,
WARMCOOKIE
e incluso otros cargadores como
Hijack Loader.

El último análisis de Recorded Future ha revelado cuatro grupos de actividad, cada uno con tácticas particulares:

  • Clúster 1 (TAG-160), que se centra en el sector logístico mediante phishing y técnicas de ClickFix para distribuir CastleLoader (activo desde marzo de 2025);
  • Clúster 2 (TAG-161), que emplea campañas de ClickFix con temática de Booking.com para distribuir CastleLoader y
    Matanbuchus
    3.0 (activo desde junio de 2025);
  • Clúster 3, que utiliza una infraestructura que imita a Booking.com
    junto con ClickFix y páginas de la comunidad de Steam como un medio para distribuir CastleRAT a través de CastleLoader (activo desde marzo de 2025);
  • Clúster 4, que se sirve de anuncios maliciosos y señuelos falsos de actualizaciones de software, haciéndose pasar por Zabbix y RVTools para distribuir CastleLoader y NetSupport RAT (activo desde abril de 2025);

Se ha determinado que GrayBravo utiliza una infraestructura multinivel para respaldar sus operaciones. Esto incluye servidores C2 de primer nivel dirigidos a las víctimas, asociados con familias de malware como CastleLoader, CastleRAT, SectopRAT y WARMCOOKIE, así como múltiples servidores VPS que probablemente funcionan como respaldo.

Los ataques de TAG-160 también son notablemente caracterizados por el uso de cuentas fraudulentas o comprometidas creadas en plataformas de comparación de cargas como DAT Freight & Analytics y Loadlink Technologies para aumentar la credibilidad de sus campañas de phishing. Según Recorded Future, esta actividad demuestra un profundo conocimiento de las operaciones del sector, ya que imitan a empresas logísticas legítimas, explotan plataformas de comparación de cargas y replican comunicaciones auténticas para maximizar su engaño e impacto.

Existe una baja certeza en la evaluación de que esta actividad podría estar relacionada con otro clúster
no atribuido que atacó a empresas de transporte y logística en Norteamérica el año pasado, distribuyendo varias familias de malware.

«GrayBravo ha ampliado considerablemente su base de usuarios, lo cual se evidencia en el creciente número de actores de amenazas y clústeres operativos que están utilizando su malware CastleLoader», afirmó Recorded Future. Esta tendencia resalta cómo herramientas técnicamente avanzadas y adaptables, especialmente las de un actor de amenazas con la reputación de GrayBravo, pueden proliferar rápidamente dentro del ecosistema cibercriminal una vez que se ha comprobado su eficacia.

Fuente:
THN


Con Información de blog.segu-info.com.ar