El actor de amenaza detrás del entorno y el cargador de malware como servicio (MAAS) llamado CastLeloader además ha desarrollado un troyano de camino remoto conocido como Castlerat.
“Habitable en las variantes de Python y C, la funcionalidad central de Castlerat consiste en resumir información del sistema, descargar y ejecutar cargas avíos adicionales y ejecutar comandos a través de CMD y PowerShell”, dijo Future Insikt Group.
La compañía de ciberseguridad está rastreando al actor de amenaza detrás de las familias de malware como TAG-150. Se cree que es activo desde al menos en marzo de 2025, Castleloader et al son vistos como vectores de camino iniciales para una amplia tono de cargas avíos secundarias, incluidos troyanos de camino remoto, robos de información e incluso otros cargadores.
Castleloader fue documentado por primera vez por la compañía suiza de ciberseguridad ProDaft en julio de 2025, ya que se había utilizado en varias campañas que distribuyen Deerstealer, Redline, Stealc, NetSupport Rat, Sectoprat y Hijack Loader.
Un observación posterior de IBM X-Force el mes pasado descubrió que el malware además ha servido como conducto para Monsterv2 y Warmcookie a través del envenenamiento por SEO y los repositorios de Github que se hacen acontecer por software razonable.
“Las infecciones se inician más comúnmente a través de ataques de phishing ‘ClickFix’ temáticos de Cloudflare o repositorios fraudulentos de GitHub disfrazados de aplicaciones legítimas”, dijo Future, dijo Future.
“Los operadores emplean la técnica ClickFix aprovechando los dominios que imitan las bibliotecas de expansión de software, las plataformas de reuniones en secante, las alertas de puesta al día del navegador y los sistemas de demostración de documentos”.
La evidencia indica que TAG-150 ha estado trabajando en Castlerat desde marzo de 2025, con el actor de amenazas aprovechando una infraestructura de niveles múltiples que comprende los servidores de comando y control de la víctima de nivel 1, así como servidores de nivel 2 y nivel 3 de nivel 1, en su mayoría servidores privados virtuales (VPSE) y servidores de copia de seguridad de nivel 4.
Castlerat, la añadido recientemente descubierta al Cúmulo de TAG-150, puede descargar cargas avíos de la próxima etapa, habilitar capacidades de shell remota e incluso eliminarse. Incluso utiliza los perfiles de la comunidad de Steam como resolución de Dead Drop para meter los servidores C2 (“Progreds Bookss (.) Com”).
En particular, Castlerat viene en dos versiones, una escrita en C y la otra, programada en Python, con este postrero además llamado PynightShade. Vale la pena señalar que Esentire está rastreando el mismo malware bajo el nombre NightShadec2.
La variación C de Castlerat incorpora más funcionalidad, lo que le permite registrar pulsaciones de teclas, capturar capturas de pantalla, cargar/descargar archivos y funcionar como una corta de criptomonedas para sustituir las direcciones de la billetera copiadas en el portapapeles con un atacante controlado con el objetivo de redirectar transacciones.
“Al igual que con la variación de Python, la variación C consulta el servicio de geolocalización IP ampliamente maltratado IP-API (.) Com para resumir información basada en la dirección IP pública del host infectado”, dijo Future fototipia. “Sin confiscación, el trascendencia de los datos se ha ampliado para incluir la ciudad, el código postal e indicadores de si la IP está asociada con una VPN, proxy o nodo TOR”.
Dicho esto, las iteraciones recientes de la variación C de Castlerat han eliminado la consulta de la ciudad y el código postal de IP-API (.) Com, lo que indica el expansión activo. Queda por ver si su contraparte de Python alcanza la paridad de características.
Esentire, en su propio observación de NightShadec2, lo describió como una botnet que se implementa mediante un cargador .NET, lo que, a su vez, hace uso de técnicas como UAC provocó un instigación para evitar las protecciones de seguridad. La compañía canadiense de ciberseguridad dijo que además identificaba variantes equipadas con características para extraer contraseñas y cookies de navegadores web basados en Chromium y Gecko.
En pocas palabras, el proceso implica ejecutar un comando PowerShell en un tirabuzón que intenta adicionar una reserva en el defensor de Windows para la carga útil final (es asegurar, NightShadec2), luego de lo cual el cargador verifica el código de salida del proceso PowerShell para determinar si es 0 (significado).
Si la reserva se agrega con éxito, el cargador procede a entregar el malware. Si se devuelve algún otro código de salida que no sea 0, el tirabuzón sigue ejecutándose repetidamente, lo que obliga al heredero a aprobar el mensaje de control de la cuenta del heredero (UAC).
“Un aspecto particularmente importante de este enfoque es que los sistemas con el servicio Windefend (Windows Defender) discapacitados generarán códigos de salida no cerosos, lo que provocará que los sandboxes de observación de malware queden atrapados en el tirabuzón de ejecución”, dijo Esentire, y agregó el método permite un derivación de múltiples soluciones de sandbox.
El expansión se produce cuando Hunt.io detalló otro cargador de malware llamado TinyLoader que se ha utilizado para servir a Redline Stealer y DCRAT.
Adicionalmente de establecer la persistencia modificando la configuración del registro de Windows, el malware monitorea el portapapeles y reemplaza instantáneamente las direcciones de billetera criptográfica copiadas. Sus paneles C2 están alojados en Letonia, el Reino Unido y los Países Bajos.
“TinyLoader instala tanto el robador de secante roja como los robadores de criptomonedas para cosechar credenciales y transacciones de secuestro”, dijo la compañía. “Se extiende a través de unidades USB, acciones de red y atajos falsos que engañan a los usuarios para que lo abran”.
Los hallazgos además coinciden con el descubrimiento de dos nuevas familias de malware, un keylogger basado en Windows llamado TinkyWinkey y un robador de información de Python denominado robador de infales3c, que puede resumir la entrada del teclado y resumir información extensa del sistema, respectivamente.
Un observación posterior de Inf0S3C Stealer ha identificado puntos de similitud con el agarre en blanco y el robo de upbral, otras dos familias de malware disponibles públicamente, lo que sugiere que el mismo autor podría ser responsable de las tres cepas.
“Tinkywinkey representa un keylogger en gran medida capaz y sigiloso basado en Windows que combina la ejecución persistente del servicio, los ganchos de teclado de bajo nivel y el perfil integral del sistema para resumir información confidencial”, dijo Cyfirma.
Inf0S3C Stealer “recopila sistemáticamente los detalles del sistema, incluidos los identificadores del host, la información de la CPU y la configuración de la red, y captura capturas de pantalla. Enumera en ejecución de procesos y genera vistas jerárquicas de directorios de usuarios, como escritorio, documentos, imágenes y descargas”.
