Se han observado cuatro grupos diferentes de actividad de amenazas utilizando un cargador de malware conocido como CastleLoader, lo que refuerza evaluaciones anteriores de que esta herramienta se está poniendo a disposición de otros actores de amenazas bajo un modelo de malware como servicio (MaaS).
Al actor de amenazas detrás de CastleLoader se le asignó el nombre GrayBravo por parte de Insikt Group de Recorded Future, que anteriormente lo rastreó como TAG-150.
GrayBravo se «caracteriza por ciclos de desarrollo rápidos, sofisticación tecnológica, capacidad de respuesta a los informes públicos y una infraestructura expansiva y en evolución», dijo la compañía propiedad de Mastercard en un análisis publicado hoy.
Las herramientas notables en el conjunto de herramientas del actor de amenazas incluyen un troyano de acceso remoto llamado CastleRAT y un marco de malware llamado CastleBot. CastleBot consta de tres componentes: un preparador/descargador de shellcode, un cargador y una puerta trasera central.
El cargador CastleBot es responsable de inyectar módulos centrales. Este módulo tiene la capacidad de conectarse a un servidor de comando y control (C2) y recuperar tareas que permiten descargar y ejecutar cargas útiles DLL, EXE y PE (ejecutable portátil). La familia de malware distribuida a través de este marco también incluye otros cargadores como DeerStealer, RedLine Stealer, StealC Stealer, NetSupport RAT, SectopRAT, MonsterV2, WARMCOOKIE e incluso Hijack Loader.
El último análisis de Recorded Future revela cuatro grupos de actividad, cada uno de los cuales opera con diferentes tácticas.
El grupo 1 (TAG-160) se dirige al sector logístico utilizando técnicas de phishing y ClickFix para distribuir CastleLoader (activo desde al menos marzo de 2025). El grupo 2 (TAG-161) utiliza campañas de ClickFix con el tema de Booking.com para distribuir CastleLoader y Matanbuchus 3.0 (activo desde al menos 2025). Activo desde junio. El grupo 3 utiliza una infraestructura que se hace pasar por Booking.com ClickFix como solucionador de entregas muertas. para distribuir CastleRAT a través de CastleLoader y la página de la comunidad Steam (activo desde al menos marzo de 2025) El grupo 4 utiliza publicidad maliciosa y actualizaciones de software falsas El grupo 4 usa Zabbix y Zabbix para distribuir CastleLoader y NetSupport RAT Lures bajo la apariencia de RVTools (activo desde al menos abril de 2025)
Resulta que GrayBravo aprovecha una infraestructura de múltiples capas para respaldar sus operaciones. Esto incluye servidores C2 de víctima de nivel 1 asociados con familias de malware como CastleLoader, CastleRAT, SectopRAT y WARMCOOKIE, así como múltiples servidores VPS que probablemente actúen como copias de seguridad.
Los ataques lanzados por TAG-160 también son conocidos por utilizar cuentas fraudulentas o comprometidas creadas en plataformas de comparación de carga como DAT Freight & Analytics y Loadlink Technologies para aumentar la credibilidad de las campañas de phishing. Recorded Future agregó que esta actividad demuestra un profundo conocimiento de las operaciones de la industria, haciéndose pasar por empresas de logística legítimas, abusando de plataformas de comparación de carga y reflejando comunicaciones genuinas para aumentar el engaño y la influencia.
Evaluamos con poca confianza que esta actividad pueda estar relacionada con otro grupo inexplicable que tuvo como objetivo empresas de transporte y logística en América del Norte el año pasado para distribuir varias familias de malware.
Recorded Future dijo: «GrayBravo ha ampliado significativamente su base de usuarios, como lo demuestra el creciente número de atacantes y grupos operativos que aprovechan su malware CastleLoader». «Esta tendencia destaca que las herramientas adaptables y tecnológicamente avanzadas, especialmente aquellas de actores de amenazas con la reputación de GrayBravo, pueden proliferar rápidamente dentro del ecosistema del cibercrimen si resultan efectivas».
Source link
