Se observaron cuatro grupos diferentes de actividades de amenazas que contenían un cargador de malware llamado ” CastillocargadorEsto respalda la evaluación anterior de que la herramienta se ofrece a otros actores de amenazas como parte de un modelo de malware como servicio (MaaS).
Al actor de amenazas detrás de CastleLoader se le asignó el nombre GrayBravo por parte de Insikt Group de Recorded Future, que anteriormente lo rastreó como TAG-150.
GrayBravo “se caracteriza por ciclos de desarrollo rápidos, sofisticación técnica, capacidad de respuesta a los informes públicos y una infraestructura extensa y en evolución”, dijo la compañía propiedad de Mastercard en un análisis publicado hoy.
Las herramientas notables en el conjunto de herramientas del actor de amenazas incluyen un troyano de acceso remoto llamado CastleRAT y un marco de malware llamado CastleBot, que consta de tres componentes: un preparador/descargador de shellcode, un cargador y una puerta trasera central.
El cargador CastleBot es responsable de inyectar el módulo central, que puede comunicarse con su servidor de comando y control (C2) para recuperar tareas que le permitan descargar y ejecutar cargas útiles DLL, EXE y PE (Portable Executable). Algunas de las familias de malware distribuidas a través de este marco son DeerStealer, RedLine Stealer, StealC Stealer, NetSupport RAT, SectopRAT, MonsterV2, WARMCOOKIE e incluso otros cargadores como Hijack Loader.
El último análisis de Recorded Future ha descubierto cuatro grupos de actividad, cada uno de los cuales opera con diferentes tácticas:
- Grupo 1 (TAG-160)que se dirige al sector logístico y utiliza técnicas de phishing y ClickFix para difundir CastleLoader (activo desde al menos marzo de 2025)
- Grupo 2 (TAG-161)que utiliza campañas ClickFix al estilo de Booking.com para distribuir CastleLoader y Matanbuchus 3.0 (activo desde al menos junio de 2025)
- Grupo 3que utiliza una infraestructura que se hace pasar por Booking.com, junto con los sitios de la comunidad ClickFix y Steam como solucionadores de entrega muerta, para entregar CastleRAT a través de CastleLoader (activo desde al menos marzo de 2025)
- Grupo 4que utiliza publicidad maliciosa y señuelos de actualizaciones de software falsos haciéndose pasar por Zabbix y RVTools para distribuir CastleLoader y NetSupport RAT (activo desde al menos abril de 2025)
Se descubrió que GrayBravo utilizaba infraestructura de varios niveles para respaldar sus operaciones. Estos incluyen servidores de víctimas de nivel 1 C2 asociados con familias de malware como CastleLoader, CastleRAT, SectopRAT y WARMCOOKIE, así como varios servidores VPS que probablemente sirvan como copias de seguridad.
Los ataques llevados a cabo por TAG-160 también se caracterizan por el uso de cuentas fraudulentas o comprometidas creadas en plataformas de comparación de carga como DAT Freight & Analytics y Loadlink Technologies para aumentar la credibilidad de sus campañas de phishing. La actividad, añadió Recorded Future, demostró un profundo conocimiento de las operaciones de la industria al hacerse pasar por empresas de logística legítimas, explotar plataformas de correspondencia de carga y reflejar comunicaciones auténticas para amplificar su engaño e impacto.
Se evaluó con poca certeza que la actividad podría estar relacionada con otro grupo no atribuido que tuvo como objetivo empresas de transporte y logística en América del Norte el año pasado para difundir varias familias de malware.
“GrayBravo ha ampliado significativamente su base de usuarios, como lo demuestra el creciente número de actores de amenazas y grupos operativos que aprovechan su malware CastleLoader”, dijo Recorded Future. “Esta tendencia destaca cómo las herramientas técnicamente avanzadas y adaptables, particularmente de un actor de amenazas con la reputación de GrayBravo, pueden extenderse rápidamente por todo el ecosistema cibercriminal una vez que hayan demostrado ser efectivas”.
About The Author
