Se han observado cuatro grupos distintos de actividad de amenazas que aprovechan un cargador de malware conocido como Cargador de castillos , reforzando la evaluación anterior de que la herramienta se ofrece a otros actores de amenazas bajo un modelo de malware como servicio (MaaS).
El grupo Insikt de Recorded Future le ha asignado el nombre de GrayBravo al actor de amenazas detrás de CastleLoader, que anteriormente lo rastreaba como ETIQUETA-150 .
GrayBravo se «caracteriza por ciclos de desarrollo rápidos, sofisticación técnica, capacidad de respuesta a la información pública y una infraestructura expansiva y en evolución», dijo la empresa propiedad de Mastercard dijo en un análisis publicado hoy.
Algunas de las herramientas más destacadas del conjunto de herramientas del actor de amenazas incluyen un troyano de acceso remoto llamado CastleRat y un marco de malware denominado CastleBot, que consta de tres componentes: un archivador/descargador de código shell, un cargador y un backdoor central.
El cargador CastleBot es responsable de inyectar el módulo principal, que está equipado para contactar con su servidor de comando y control (C2) para recuperar las tareas que le permiten descargar y ejecutar cargas útiles de DLL, EXE y PE (ejecutable portátil). Algunas de las familias de malware distribuidas a través de este marco son Ladrón de ciervos , RedLine Stealer , StealC Stealer , NetSupport RAT , Sector RAT , Monster V2 , GALLETA CALIENTE , e incluso otros cargadores como Cargador Hijack .
El último análisis de Recorded Future ha descubierto cuatro grupos de actividad, cada uno de los cuales opera con tácticas distintas -
- Clúster 1 (TAG-160) , que apunta al sector logístico mediante técnicas de suplantación de identidad y ClickFix para distribuir CastleLoader (activo al menos desde marzo de 2025)
- Clúster 2 (TAG-161) , que usa temas de Booking.com Haga clic en Fijar campañas para distribuir CastleLoader y Matanbuchus 3.0 (Activo al menos desde junio de 2025)
- Clúster 3 , que utiliza una infraestructura que se hace pasar por Booking.com junto con las páginas de la comunidad de Steam y ClickFix como solución inmediata para ofrecer CastleRat a través de CastleLoader (activo al menos desde marzo de 2025)
- Clúster 4 , que utiliza publicidad maliciosa y falsos señuelos de actualización de software que se hacen pasar por Zabbix y RVTools para distribuir CastleLoader y NetSupport RAT (activos al menos desde abril de 2025)
Se ha descubierto que GrayBravo aprovecha una infraestructura de varios niveles para respaldar sus operaciones. Esto incluye los servidores C2 de nivel 1 destinados a las víctimas y asociados a familias de malware como CastleLoader, CastleRAT, SectopRat y WARMCOOKIE, así como varios servidores VPS que probablemente funcionen como copias de seguridad.
Los ataques lanzados por TAG-160 también destacan por el uso de cuentas fraudulentas o comprometidas creadas en plataformas de cotejo de carga, como DAT Freight & Analytics y Loadlink Technologies, para mejorar la credibilidad de sus campañas de suplantación de identidad. Esta actividad, añadió Recorded Future, ilustra un profundo conocimiento de las operaciones del sector, haciéndose pasar por empresas de logística legítimas, explotando las plataformas de equiparación de cargas y reflejando comunicaciones auténticas para aumentar su capacidad de engaño e impacto.
Se ha evaluado con poca confianza que la actividad podría estar relacionada con otra clúster sin atribuir que tuvo como objetivo a empresas de transporte y logística de Norteamérica el año pasado para distribuir varias familias de malware.
«GrayBravo ha ampliado significativamente su base de usuarios, como lo demuestra el creciente número de actores de amenazas y clústeres operativos que aprovechan su malware CastleLoader», afirma Recorded Future. «Esta tendencia pone de manifiesto cómo las herramientas adaptativas y avanzadas desde el punto de vista técnico, especialmente las de un actor de amenazas con la reputación de GrayBravo, pueden proliferar rápidamente en el ecosistema de la ciberdelincuencia una vez que se demuestre su eficacia».