El actor de amenazas detrás del marco y cargador de malware como servicio (MaaS) llamado CastleLoader también ha desarrollado un troyano de acceso remoto conocido como Castle Rat .
«Disponible en las variantes de Python y C, la funcionalidad principal de CastleRat consiste en recopilar información del sistema, descargar y ejecutar cargas útiles adicionales y ejecutar comandos a través de CMD y PowerShell», registró Future Insikt Group dijo .
La empresa de ciberseguridad está rastreando al actor de amenazas detrás de las familias de malware como TAG-150. CastleLoader y otros, que se cree que están activos al menos desde marzo de 2025, son considerados vectores de acceso inicial para una amplia gama de cargas útiles secundarias, incluidos los troyanos de acceso remoto, los ladrones de información e incluso otros tipos de carga.
CastleLoader fue primera documentación de la empresa suiza de ciberseguridad PRODAFT en julio de 2025, ya que se utilizó en varias campañas de distribución de DeerStealer, RedLine, StealC, NetSupport RAT, SectopRAT y Hijack Loader.
Un análisis posterior de IBM X-Force el mes pasado encontrado que el malware también ha servido de conducto para MonsterV2 y WARMCOOKIE mediante el envenenamiento por SEO y los repositorios de GitHub que se hacen pasar por software legítimo.
«La mayoría de las infecciones se inician con temas relacionados con Cloudflare «Haga clic en Corregir» ataques de suplantación de identidad o repositorios de GitHub fraudulentos que se hacen pasar por aplicaciones legítimas», afirma Recorded Future.
«Los operadores emplean la técnica ClickFix al aprovechar los dominios que imitan las bibliotecas de desarrollo de software, las plataformas de reuniones en línea, las alertas de actualización del navegador y los sistemas de verificación de documentos».
La evidencia indica que el TAG-150 ha estado trabajando en CastleRat desde marzo de 2025, y que el actor de la amenaza aprovecha una infraestructura de varios niveles que comprende servidores de comando y control (C2) de nivel 1 orientados a las víctimas, así como servidores de nivel 2 y nivel 3 que son en su mayoría servidores privados virtuales (VPS) y servidores de respaldo de nivel 4.
CastleRat, la incorporación recién descubierta al arsenal del TAG-150, puede descargar cargas útiles de la siguiente etapa, habilitar capacidades de proyectiles remotos e incluso borrarse a sí mismo. También utiliza los perfiles de la comunidad de Steam como solucionadores sin salida para alojar servidores C2 («programsbookss [.] com»).
Cabe destacar que CastleRat viene en dos versiones, una escrita en C y la otra, programada en Python, esta última también llamada PyNightshade. Vale la pena señalar que eSentire es rastreo el mismo malware con el nombre NightshadeC2.
La variante C de CastleRat incorpora más funciones, lo que le permite registrar las pulsaciones de teclas, capturar capturas de pantalla, cargar/descargar archivos y funcionar como un cortapapeles de criptomonedas para sustituir las direcciones de monederos copiadas en el portapapeles por otras controladas por un atacante con el objetivo de redirigir las transacciones.
«Al igual que con la variante Python, la variante C consulta el servicio de geolocalización IP ip-api [.] com, ampliamente utilizado, para recopilar información basada en la dirección IP pública del host infectado», afirma Recorded Future. «Sin embargo, el alcance de los datos se ha ampliado para incluir la ciudad, el código postal y los indicadores que indican si la IP está asociada a una VPN, un proxy o un nodo TOR».
Dicho esto, las versiones recientes de la variante C de CastleRat han eliminado la consulta de la ciudad y el código postal en ip-api [.] com, lo que indica un desarrollo activo. Queda por ver si su homólogo de Python alcanzará la paridad de características.
eSentire, en su propio análisis de NightShadeC2, la describió como una botnet que se implementa mediante un cargador.NET que, a su vez, utiliza técnicas como Bombardeo rápido de la UAC para eludir las protecciones de seguridad. La empresa canadiense de ciberseguridad dijo que también identificó variantes equipadas con funciones para extraer contraseñas y cookies de los navegadores web basados en Chromium y Gecko.
En pocas palabras, el proceso implica ejecutar un comando de PowerShell en un bucle que intenta agregar una exclusión en Windows Defender para la carga útil final (es decir, NightShadeC2), tras lo cual el cargador verifica el código de salida del proceso de PowerShell para determinar si es 0 (lo que significa que se ha realizado correctamente).
Si la exclusión se agrega correctamente, el cargador continúa con la entrega del malware. Si se devuelve cualquier otro código de salida que no sea 0, el bucle sigue ejecutándose repetidamente, lo que obliga al usuario a aprobar la solicitud de control de cuentas de usuario (UAC).
«Un aspecto particularmente notable de este enfoque es que los sistemas con el servicio WinDefend (Windows Defender) desactivado generarán códigos de salida distintos de cero, lo que provocará que los entornos limitados de análisis de malware queden atrapados en el ciclo de ejecución», afirma eSentire, añadiendo que el método permite eludir múltiples soluciones de entornos aislados.
El desarrollo se produce cuando Hunt.io detalló otro cargador de malware con el nombre en código TinyLoader que se ha utilizado para servir a Redline Stealer y DCRat.
Además de establecer la persistencia modificando la configuración del Registro de Windows, el malware monitorea el portapapeles y reemplaza instantáneamente las direcciones copiadas de las carteras criptográficas. Sus paneles C2 se celebran en Letonia, el Reino Unido y los Países Bajos.
«TinyLoader instala tanto Redline Stealer como ladrones de criptomonedas para recopilar credenciales y secuestrar transacciones», dice la empresa dijo . «Se propaga a través de unidades USB, redes compartidas y atajos falsos que engañan a los usuarios para que lo abran».
Los hallazgos también coinciden con el descubrimiento de dos nuevas familias de malware, un keylogger basado en Windows llamado Tinky Winkey y un ladrón de información de Python denominado Robador Inf0s3c , que pueden recopilar las entradas del teclado y recopilar una amplia información del sistema, respectivamente.
Un análisis más detallado de Inf0s3c Stealer ha identificado puntos de similitud con Blank Grabber y Umbral-Stealer, otras dos familias de malware disponibles públicamente, lo que sugiere que el mismo autor podría ser responsable de las tres cepas.
«TinkyWinkey representa un registrador de teclas basado en Windows altamente capaz y sigiloso que combina la ejecución persistente de los servicios, los ganchos de teclado de bajo nivel y la elaboración integral de perfiles del sistema para recopilar información confidencial», afirma CYFIRMA.
Inf0s3c Stealer «recopila sistemáticamente los detalles del sistema, incluidos los identificadores de host, la información de la CPU y la configuración de la red, y captura capturas de pantalla. Enumera los procesos en ejecución y genera vistas jerárquicas de los directorios de usuarios, como el escritorio, los documentos, las imágenes y las descargas».