Ciberseguridad 360 | Grupo TAG-150 impulsa malware CastleRAT avanzado

El actor de amenazas detr�s del marco y cargador de malware como servicio (MaaS) llamado CastleLoader tambi�n ha desarrollado un troyano de acceso remoto conocido como CastleRAT.

"Disponible en variantes Python y C, la funcionalidad principal de CastleRAT consiste en recopilar informaci�n del sistema, descargar y ejecutar cargas �tiles adicionales y ejecutar comandos a trav�s de CMD y PowerShell", afirma Recorded Future Insikt Group.

La empresa de ciberseguridad est� rastreando al actor de la amenaza detr�s de las familias de malware como TAG-150. Se cree que CastleLoader y otros, activos desde al menos marzo de 2025, son vectores de acceso inicial para una amplia gama de cargas secundarias, como troyanos de acceso remoto, ladrones de informaci�n e incluso otros cargadores.

En julio de 2025, la empresa suiza de ciberseguridad PRODAFT document� por primera vez el uso de CastleLoader en varias campa�as de distribuci�n de DeerStealer, RedLine, StealC, NetSupport RAT, SectopRAT y Hijack Loader.

Un an�lisis posterior de IBM X-Force el mes pasado descubri� que el malware tambi�n ha servido como conducto para MonsterV2 y WARMCOOKIE a trav�s de envenenamiento SEO y repositorios GitHub haci�ndose pasar por software leg�timo.

"Las infecciones se inician m�s com�nmente a trav�s de ataques de phishing ?ClickFix? tem�ticos de Cloudflare o repositorios fraudulentos de GitHub que se hacen pasar por aplicaciones leg�timas", dijo Recorded Future.

"Los operadores emplean la t�cnica ClickFix aprovechando dominios que imitan bibliotecas de desarrollo de software, plataformas de reuniones en l�nea, alertas de actualizaci�n de navegadores y sistemas de verificaci�n de documentos."

La evidencia indica que TAG-150 ha estado trabajando en CastleRAT desde marzo de 2025, con el actor de la amenaza aprovechando una infraestructura de m�ltiples niveles que comprende servidores de comando y control (C2) de nivel 1 orientados a la v�ctima, as� como servidores de nivel 2 y 3 que son en su mayor�a servidores privados virtuales (VPS), y servidores de respaldo de nivel 4.

CastleRAT, la adici�n reci�n descubierta al arsenal de TAG-150, puede descargar cargas �tiles de siguiente fase, habilitar capacidades de shell remoto e incluso borrarse a s� mismo. Tambi�n utiliza los perfiles de la Comunidad Steam como resolvedores para alojar servidores C2 (�programsbookss[.]com�).

En particular, CastleRAT viene en dos versiones, una escrita en C y la otra, programada en Python, esta �ltima tambi�n llamada PyNightshade. Cabe se�alar que eSentire est� rastreando el mismo malware bajo el nombre de NightshadeC2.

La variante C de CastleRAT incorpora m�s funcionalidades, lo que le permite registrar pulsaciones de teclas, capturar pantallas, cargar/descargar archivos y funcionar como un clipper de criptomonedas para sustituir las direcciones de monedero copiadas en el portapapeles por una controlada por el atacante con el objetivo de redirigir las transacciones.

"Al igual que con la variante Python, la variante C consulta el servicio de geolocalizaci�n IP ampliamente abusado ip-api[.]com para recopilar informaci�n basada en la direcci�n IP p�blica del host infectado", dijo Recorded Future. "Sin embargo, el alcance de los datos se ha ampliado para incluir la ciudad, el c�digo postal e indicadores de si la IP est� asociada a un nodo VPN, proxy o TOR".

Dicho esto, las �ltimas iteraciones de la variante C de CastleRAT han eliminado la consulta de la ciudad y el c�digo postal de ip-api[.]com, lo que indica un desarrollo activo. Queda por ver si su hom�logo en Python alcanzar� la paridad de prestaciones.

eSentire, en su propio an�lisis de NightshadeC2, lo describi� como una botnet que se despliega mediante un cargador .NET que, a su vez, hace uso de t�cnicas como UAC Prompt Bombing para eludir las protecciones de seguridad. La empresa canadiense de ciberseguridad tambi�n identific� variantes equipadas con funciones para extraer contrase�as y cookies de navegadores web basados en Chromium y Gecko.

En pocas palabras, el proceso consiste en ejecutar un comando PowerShell en un bucle que intenta a�adir una exclusi�n en Windows Defender para la carga �til final (es decir, NightshadeC2), tras lo cual el cargador verifica el c�digo de salida del proceso PowerShell para comprobar si es 0 (lo que significa �xito).

Si la exclusi�n se a�ade correctamente, el cargador procede a entregar el malware. Si se devuelve cualquier otro c�digo de salida distinto de 0, el bucle sigue ejecut�ndose repetidamente, obligando al usuario a aprobar el aviso de Control de cuentas de usuario (UAC).

"Un aspecto particularmente notable de este enfoque es que los sistemas con el servicio WinDefend (Windows Defender) desactivado generar�n c�digos de salida distintos de cero, haciendo que las cajas de arena de an�lisis de malware queden atrapadas en el bucle de ejecuci�n", dijo eSentire, a�adiendo que el m�todo permite eludir m�ltiples soluciones de caja de arena.

El desarrollo se produce mientras Hunt.io detalla otro cargador de malware con nombre en c�digo TinyLoader que se ha utilizado para servir a Redline Stealer y DCRat.

Adem�s de establecer la persistencia mediante la modificaci�n de la configuraci�n del Registro de Windows, el malware supervisa el portapapeles y reemplaza instant�neamente las direcciones de criptocarteras copiadas. Sus paneles C2 est�n alojados en Letonia, Reino Unido y Pa�ses Bajos.

"TinyLoader instala tanto Redline Stealer como ladrones de criptomonedas para recopilar credenciales y secuestrar transacciones", afirma la empresa. "Se propaga a trav�s de unidades USB, recursos compartidos de red y accesos directos falsos que enga�an a los usuarios para que lo abran".

Los hallazgos tambi�n coinciden con el descubrimiento de dos nuevas familias de malware, un keylogger basado en Windows llamado TinkyWinkey y un ladr�n de informaci�n Python denominado Inf0s3c Stealer, que pueden recopilar entradas de teclado y recopilar amplia informaci�n del sistema, respectivamente.

Un an�lisis m�s detallado de Inf0s3c Stealer ha identificado puntos de similitud con Blank Grabber y Umbral-Stealer, otras dos familias de malware disponibles p�blicamente, lo que sugiere que el mismo autor podr�a ser responsable de las tres cepas.

"TinkyWinkey representa un keylogger basado en Windows altamente capaz y sigiloso que combina la ejecuci�n persistente de servicios, ganchos de teclado de bajo nivel y perfiles completos del sistema para recopilar informaci�n sensible", dijo CYFIRMA.

Inf0s3c Stealer "recopila sistem�ticamente los detalles del sistema, incluidos los identificadores de host, la informaci�n de la CPU y la configuraci�n de red, y realiza capturas de pantalla. Enumera los procesos en ejecuci�n y genera vistas jer�rquicas de los directorios de usuario, como Escritorio, Documentos, Im�genes y Descargas."

Fuente: thehackernews