Se han observado cuatro grupos distintos de actividad de amenazas que aprovechan un cargador de malware conocido como castillocargadorfortaleciendo la evaluación previa de que la herramienta se ofrece a otros actores de amenazas bajo un modelo de malware como servicio (MaaS).
Al actor de amenazas detrás de CastleLoader se le asignó el nombre GrayBravo por parte de Insikt Group de Recorded Future, que anteriormente lo rastreaba como TAG-150.
GrayBravo se «caracteriza por ciclos de desarrollo rápidos, sofisticación técnica, capacidad de respuesta a los informes públicos y una infraestructura expansiva y en evolución», dijo la compañía propiedad de Mastercard en un análisis publicado hoy.
Algunas de las herramientas notables en el conjunto de herramientas del actor de amenazas incluyen un troyano de acceso remoto llamado CastleRAT y un marco de malware denominado CastleBot, que comprende tres componentes: un preparador/descargador de shellcode, un cargador y una puerta trasera central.
El cargador CastleBot es responsable de inyectar el módulo central, que está equipado para contactar su servidor de comando y control (C2) para recuperar tareas que le permitan descargar y ejecutar cargas útiles DLL, EXE y PE (ejecutable portátil). Algunas de las familias de malware distribuidas a través de este marco son DeerStealer, RedLine Stealer, StealC Stealer, NetSupport RAT, SectopRAT, MonsterV2, WARMCOOKIE e incluso otros cargadores como Hijack Loader.
El último análisis de Recorded Future ha descubierto cuatro grupos de actividad, cada uno de los cuales opera con tácticas distintas:
- Grupo 1 (TAG-160)que se dirige al sector logístico utilizando técnicas de phishing y ClickFix para distribuir CastleLoader (activo desde al menos marzo de 2025)
- Grupo 2 (TAG-161)que utiliza campañas ClickFix con temática de Booking.com para distribuir CastleLoader y Matanbuchus 3.0 (activo desde al menos junio de 2025)
- Grupo 3que utiliza una infraestructura que se hace pasar por Booking.com junto con las páginas de ClickFix y Steam Community como un solucionador de entrega muerta para entregar CastleRAT a través de CastleLoader (activo desde al menos marzo de 2025)
- Grupo 4que utiliza publicidad maliciosa y actualizaciones de software falsas haciéndose pasar por Zabbix y RVTools para distribuir CastleLoader y NetSupport RAT (activo desde al menos abril de 2025)
Se ha descubierto que GrayBravo aprovecha una infraestructura de varios niveles para respaldar sus operaciones. Esto incluye servidores C2 de nivel 1 orientados a las víctimas asociados con familias de malware como CastleLoader, CastleRAT, SectopRAT y WARMCOOKIE, así como múltiples servidores VPS que probablemente funcionen como copias de seguridad.
Los ataques organizados por TAG-160 también se destacan por utilizar cuentas fraudulentas o comprometidas creadas en plataformas de comparación de carga como DAT Freight & Analytics y Loadlink Technologies para mejorar la credibilidad de sus campañas de phishing. La actividad, agregó Recorded Future, ilustra una profunda comprensión de las operaciones de la industria, haciéndose pasar por empresas de logística legítimas, explotando plataformas de comparación de carga y reflejando comunicaciones auténticas para mejorar su engaño e impacto.
Se ha evaluado con poca confianza que la actividad podría estar relacionada con otro grupo no atribuido que tuvo como objetivo empresas de transporte y logística en América del Norte el año pasado para distribuir varias familias de malware.
«GrayBravo ha ampliado significativamente su base de usuarios, como lo demuestra el creciente número de actores de amenazas y grupos operativos que aprovechan su malware CastleLoader», dijo Recorded Future. «Esta tendencia destaca cómo las herramientas técnicamente avanzadas y adaptables, particularmente de un actor de amenazas con la reputación de GrayBravo, pueden proliferar rápidamente dentro del ecosistema cibercriminal una vez que se demuestra su eficacia».
