El actor de amenaza detrás del ámbito y el cargador de malware como servicio (MAAS) llamado CastLeloader todavía ha desarrollado un troyano de acercamiento remoto conocido como Castlerat.
«Adecuado en las variantes de Python y C, la funcionalidad central de Castlerat consiste en compilar información del sistema, descargar y ejecutar cargas enseres adicionales y ejecutar comandos a través de CMD y PowerShell», dijo Future Insikt Group.
La compañía de ciberseguridad está rastreando al actor de amenaza detrás de las familias de malware como TAG-150. Se cree que es activo desde al menos en marzo de 2025, Castleloader et al son vistos como vectores de acercamiento iniciales para una amplia serie de cargas enseres secundarias, incluidos troyanos de acercamiento remoto, robos de información e incluso otros cargadores.
Castleloader fue documentado por primera vez por la compañía suiza de ciberseguridad ProDaft en julio de 2025, ya que se había utilizado en varias campañas que distribuyen Deerstealer, Redline, Stealc, NetSupport Rat, Sectoprat y Hijack Loader.
Un examen posterior de IBM X-Force el mes pasado descubrió que el malware todavía ha servido como conducto para Monsterv2 y Warmcookie a través del envenenamiento por SEO y los repositorios de Github que se hacen producirse por software razonable.
«Las infecciones se inician más comúnmente a través de ataques de phishing ‘ClickFix’ temáticos de Cloudflare o repositorios fraudulentos de GitHub disfrazados de aplicaciones legítimas», dijo Future, dijo Future.
«Los operadores emplean la técnica ClickFix aprovechando los dominios que imitan las bibliotecas de expansión de software, las plataformas de reuniones en raya, las alertas de puesta al día del navegador y los sistemas de comprobación de documentos».
La evidencia indica que TAG-150 ha estado trabajando en Castlerat desde marzo de 2025, con el actor de amenazas aprovechando una infraestructura de niveles múltiples que comprende los servidores de comando y control de la víctima de nivel 1, así como servidores de nivel 2 y nivel 3 de nivel 1, en su mayoría servidores privados virtuales (VPSE) y servidores de copia de seguridad de nivel 4.
Castlerat, la añadidura recientemente descubierta al Astillero de TAG-150, puede descargar cargas enseres de la próxima etapa, habilitar capacidades de shell remota e incluso eliminarse. Igualmente utiliza los perfiles de la comunidad de Steam como resolución de Dead Drop para penetrar los servidores C2 («Progreds Bookss (.) Com»).
En particular, Castlerat viene en dos versiones, una escrita en C y la otra, programada en Python, con este postrero todavía llamado PynightShade. Vale la pena señalar que Esentire está rastreando el mismo malware bajo el nombre NightShadec2.
La reforma C de Castlerat incorpora más funcionalidad, lo que le permite registrar pulsaciones de teclas, capturar capturas de pantalla, cargar/descargar archivos y funcionar como una corta de criptomonedas para sustituir las direcciones de la billetera copiadas en el portapapeles con un atacante controlado con el objetivo de redirectar transacciones.
«Al igual que con la reforma de Python, la reforma C consulta el servicio de geolocalización IP ampliamente maltratado IP-API (.) Com para compilar información basada en la dirección IP pública del host infectado», dijo Future figura. «Sin requisa, el envergadura de los datos se ha ampliado para incluir la ciudad, el código postal e indicadores de si la IP está asociada con una VPN, proxy o nodo TOR».
Dicho esto, las iteraciones recientes de la reforma C de Castlerat han eliminado la consulta de la ciudad y el código postal de IP-API (.) Com, lo que indica el expansión activo. Queda por ver si su contraparte de Python alcanza la paridad de características.
Esentire, en su propio examen de NightShadec2, lo describió como una botnet que se implementa mediante un cargador .NET, lo que, a su vez, hace uso de técnicas como UAC provocó un fuego graneado para evitar las protecciones de seguridad. La compañía canadiense de ciberseguridad dijo que todavía identificaba variantes equipadas con características para extraer contraseñas y cookies de navegadores web basados en Chromium y Gecko.
En pocas palabras, el proceso implica ejecutar un comando PowerShell en un rizo que intenta ampliar una pega en el defensor de Windows para la carga útil final (es proponer, NightShadec2), luego de lo cual el cargador verifica el código de salida del proceso PowerShell para determinar si es 0 (significado).
Si la pega se agrega con éxito, el cargador procede a entregar el malware. Si se devuelve algún otro código de salida que no sea 0, el rizo sigue ejecutándose repetidamente, lo que obliga al beneficiario a aprobar el mensaje de control de la cuenta del beneficiario (UAC).
«Un aspecto particularmente trascendente de este enfoque es que los sistemas con el servicio Windefend (Windows Defender) discapacitados generarán códigos de salida no cerosos, lo que provocará que los sandboxes de examen de malware queden atrapados en el rizo de ejecución», dijo Esentire, y agregó el método permite un derivación de múltiples soluciones de sandbox.
El expansión se produce cuando Hunt.io detalló otro cargador de malware llamado TinyLoader que se ha utilizado para servir a Redline Stealer y DCRAT.
Por otra parte de establecer la persistencia modificando la configuración del registro de Windows, el malware monitorea el portapapeles y reemplaza instantáneamente las direcciones de billetera criptográfica copiadas. Sus paneles C2 están alojados en Letonia, el Reino Unido y los Países Bajos.
«TinyLoader instala tanto el robador de raya roja como los robadores de criptomonedas para cosechar credenciales y transacciones de secuestro», dijo la compañía. «Se extiende a través de unidades USB, acciones de red y atajos falsos que engañan a los usuarios para que lo abran».
Los hallazgos todavía coinciden con el descubrimiento de dos nuevas familias de malware, un keylogger basado en Windows llamado TinkyWinkey y un robador de información de Python denominado robador de infales3c, que puede compilar la entrada del teclado y compilar información extensa del sistema, respectivamente.
Un examen posterior de Inf0S3C Stealer ha identificado puntos de similitud con el agarre en blanco y el robo de upbral, otras dos familias de malware disponibles públicamente, lo que sugiere que el mismo autor podría ser responsable de las tres cepas.
«Tinkywinkey representa un keylogger en gran medida capaz y sigiloso basado en Windows que combina la ejecución persistente del servicio, los ganchos de teclado de bajo nivel y el perfil integral del sistema para compilar información confidencial», dijo Cyfirma.
Inf0S3C Stealer «recopila sistemáticamente los detalles del sistema, incluidos los identificadores del host, la información de la CPU y la configuración de la red, y captura capturas de pantalla. Enumera en ejecución de procesos y genera vistas jerárquicas de directorios de usuarios, como escritorio, documentos, imágenes y descargas».
