El marco de malware como servicio (MAAS) y el actor de amenaza detrás del cargador conocido como Castleloader también han desarrollado un troyano de acceso remoto conocido como Castlerat.
«Las características centrales de Castlerat disponibles en las variantes de Python y C consisten en recopilar información del sistema, descargar y ejecutar cargas útiles adicionales y ejecutar comandos a través de CMD y PowerShell», dice un futuro grupo Insikt.
Las compañías de ciberseguridad están rastreando a los actores de amenaza detrás de la familia de malware como TAG-150. Castleloader et al, considerado activo desde al menos en marzo de 2025, se considera el vector de acceso inicial para una amplia gama de cargas útiles secundarias, incluidos troyanos de acceso remoto, elementos robados de información e incluso otros cargadores.
Castleloader fue documentado por primera vez en julio de 2025 por la compañía suiza de ciberseguridad ProDaft.
El análisis posterior de IBM X-Force el mes pasado encontró que el malware también actúa como un conducto para Monsterv2 y Warmcookies a través de su adicción a SEO y repositorio de GitHub, que se hace pasar por software legítimo.
«Las infecciones se inician más comúnmente a través de ataques de phishing ‘ClickFix’ temáticos de Cloudflare o los repositorios maliciosos de GitHub posan como aplicaciones legítimas», dijo Future, que se registró.
«Los operadores están empleando técnicas de clickFix aprovechando dominios que imitan las bibliotecas de desarrollo de software, las plataformas de reuniones en línea, las alertas de actualización del navegador y los sistemas de verificación de documentos».
La TAG-150 muestra que ha estado trabajando con Castle Rats desde marzo de 2025. Los actores de amenazas aprovechan una infraestructura de varios niveles que consiste en servidores de comando y control de víctimas de nivel 1 (C2), así como principalmente servidores de arte privado de arte (VPS) y servidores de respaldo de nivel 4, servidores de nivel 2 y nivel 3.
El Castlerat recién descubierto y agregado en Arsenal en TAG-150 puede descargar la siguiente carga útil de la etapa, habilitar la función de shell remota e incluso eliminarla. También utiliza el perfil de la comunidad de Steam como resolución de DeadDrop para alojar un servidor C2 («Progredsbookss (.) Com»).
En particular, hay dos versiones de Castlerat. Uno está escrito en C y programado en Python, este último también conocido como PynightShade. Vale la pena señalar que Esentire rastrea el mismo malware bajo el nombre NightShadec2.
La variante C de Castlerat tiene más funciones incorporadas, por lo que grabé pulsaciones de teclas, capturadas capturas, archivos cargados/descargados, actué como un cortaprisón de criptomonedas y lo copié al portapapeles con el objetivo de redirigir transacciones, reemplazar la dirección de la billetera que el atacante copió.
«Al igual que la variante de Python, la variante C consulta el ampliamente maltratado Servicios de geolocalización IP IP-API (.) Com para recopilar información basada en la dirección IP pública del host infectado», dijo el futuro grabado. «Sin embargo, el rango de datos se ha ampliado para incluir métricas de si la ciudad, el código postal y la IP están asociados con una VPN, proxy o nodo TOR».
Dicho esto, una iteración reciente de la variante C de Castlerat ha eliminado las consultas de la ciudad y el código postal y los códigos postales de IP-API (.) Com, lo que indica el desarrollo activo. Todavía se desconoce si las contrapartes de Python alcanzarán la paridad funcional.
En su propio análisis de NightShadec2, Esentire lo describió como una botnet desplegada por un cargador .NET. La compañía de ciberseguridad canadiense también dijo que ha identificado una variante con la capacidad de extraer contraseñas y cookies de navegadores web con sede en Chromium y Gecko.
En resumen, este proceso implica ejecutar un comando PowerShell en un bucle que intenta agregar una exclusión al defensor de Windows en la carga útil final (es decir, NightShadec2).
Si las exclusiones se agregan con éxito, el cargador procederá a entregar el malware. Si se devuelve algún otro código de salida que no sea 0, el bucle continúa ejecutándose repetidamente, lo que obliga al usuario a aprobar el mensaje de control de la cuenta del usuario (UAC).
«Un aspecto particularmente sorprendente de este enfoque es que los sistemas con servicios de Windefend (Windows Defender) están desactivados generan código de salida no cero, y los sandboxes de análisis de malware están atrapados en el bucle de ejecución», dijo Esentire, y agregó una forma de habilitar múltiples soluciones de sandbox.
El desarrollo se lleva a cabo cuando Hunt.io detalla otro cargador de malware con nombre en código TinyLoader, que se utilizó para proporcionar robador de línea roja y DCRAT.
Además de modificar la configuración del registro de Windows para establecer la persistencia, el malware monitorea el portapapeles y reemplaza instantáneamente la dirección de billetera criptográfica copiada. Sus paneles C2 están alojados en Letonia, el Reino Unido y los Países Bajos.
«TinyLoader instala tanto el robador de línea roja como los robadores de criptomonedas para cosechar credenciales y transacciones de secuestro», dijo la compañía. «Se extiende a través de unidades USB, acciones de red, atajos falsos y permite a los usuarios abrirlo».
Los hallazgos son consistentes con el descubrimiento de dos nuevas familias de malware, el Keylogger basado en Windows llamado TinkyWinkey, y el robador de información de Python llamado Inf0S3C Steeler, que puede recopilar la entrada del teclado y recopilar información extensa del sistema.
El análisis posterior de INF0S3C Steeler ha identificado similitudes entre el agarre en blanco y el robo de Umbral, y otras dos familias de malware disponibles públicamente, lo que sugiere que el mismo autor es responsable de las tres acciones.
«Tinkywinkey representa un keylogger altamente capaz y sigiloso basado en Windows que combina la ejecución persistente del servicio, los ganchos de teclado de bajo nivel y el perfil integral del sistema para recopilar información confidencial», dijo Cyfirma.
El Inf0S3C Steeler recopila sistemáticamente los detalles del sistema, como identificadores de host, información de CPU y configuración de red, y captura capturas de pantalla. Enumera en ejecución de procesos y genera una vista jerárquica de directorios de usuarios como escritorios, documentos, fotos, descargas y más. «
Source link
