Una reciente investigación ha revelado la existencia de cuatro grupos de actividad de amenazas distintos que están aprovechando un cargador de malware conocido como CastleLoader. Esta evidencia refuerza la evaluación previa de que la herramienta se ofrece a otros ciberdelincuentes bajo un modelo de malware-as-a-service (MaaS).
El actor de amenazas detrás de CastleLoader ha sido identificado por el Insikt Group de Recorded Future como GrayBravo, anteriormente rastreado como TAG-150.
Perfil de GrayBravo
GrayBravo es un actor de amenazas caracterizado por:
- Ciclos de desarrollo rápidos.
- Sofisticación técnica.
- Capacidad de respuesta a los reportes públicos.
- Una infraestructura expansiva y en constante evolución.
Herramientas y Frameworks
El conjunto de herramientas de GrayBravo incluye varias piezas clave de malware:
- CastleRAT: Un troyano de acceso remoto (RAT).
- CastleBot: Un framework de malware que consta de tres componentes: un shellcode stager/downloader, un cargador y un backdoor central.
El cargador de CastleBot es responsable de inyectar el módulo central, el cual se comunica con su servidor de comando y control (C2) para recuperar tareas. Esto le permite descargar y ejecutar payloads de tipo DLL, EXE y PE.
Malware Distribuido por CastleLoader
A través de este framework, se han distribuido numerosas familias de malware, entre ellas:
- DeerStealer
- RedLine Stealer
- StealC Stealer
- NetSupport RAT
- SectopRAT
- MonsterV2
- WARMCOOKIE
- Otros cargadores como Hijack Loader
Cuatro Clústeres de Actividad Identificados
El análisis más reciente de Recorded Future ha descubierto cuatro clústeres de actividad distintos que operan con tácticas específicas para distribuir CastleLoader:
- Clúster 1 (TAG-160): Ataca al sector de la logística utilizando técnicas de phishing y ClickFix para distribuir CastleLoader. Este clúster ha estado activo desde al menos marzo de 2025.
- Clúster 2 (TAG-161): Utiliza campañas ClickFix con temática de Booking.com para distribuir CastleLoader y Matanbuchus 3.0. Activo desde al menos junio de 2025.
- Clúster 3: Emplea infraestructura que suplanta la identidad de Booking.com junto con ClickFix y páginas de Steam Community como resolvedor de dead drop para entregar CastleRAT a través de CastleLoader. Activo desde al menos marzo de 2025.
- Clúster 4: Utiliza malvertising (publicidad maliciosa) y señuelos de actualización de software falsos que se hacen pasar por Zabbix y RVTools para distribuir CastleLoader y NetSupport RAT. Activo desde al menos abril de 2025.
Sofisticación en Ataques al Sector Logístico
Los ataques del clúster TAG-160 son particularmente notables por su sofisticación. Utilizan cuentas fraudulentas o comprometidas creadas en plataformas de emparejamiento de carga como DAT Freight & Analytics y Loadlink Technologies para aumentar la credibilidad de sus campañas de phishing.
Esta actividad demuestra un profundo conocimiento de las operaciones de la industria, suplantando a empresas de logística legítimas, explotando plataformas de emparejamiento de carga y replicando comunicaciones auténticas para mejorar la efectividad de sus engaños.
Conclusiones
GrayBravo ha expandido significativamente su base de usuarios, lo que se evidencia en el creciente número de actores de amenazas y clústeres operacionales que utilizan su malware CastleLoader. Esta tendencia resalta cómo las herramientas técnicamente avanzadas y adaptables, especialmente de un actor de amenazas con la reputación de GrayBravo, pueden proliferar rápidamente dentro del ecosistema cibercriminal una vez que demuestran ser efectivas.