Киберпреступная группировка, отслеживаемая Recorded Future Insikt Group под кодовым названием TAG-150, активна как минимум с марта 2025 года. Изначально известная благодаря своей платформе «вредоносное ПО как услуга» (MaaS) CastleLoader, группа разработала новый, более сложный инструмент — троян удаленного доступа (RAT) под названием CastleRAT.
CastleLoader, впервые задокументированный швейцарской компанией по кибербезопасности PRODAFT в июле 2025 года, служит вектором первоначального доступа для доставки широкого спектра вредоносных программ. Для заражения систем операторы используют SEO-оптимизацию для продвижения вредоносных сайтов, создают мошеннические репозитории на GitHub, маскирующиеся под легитимные приложения, а также применяют фишинговые атаки "ClickFix", тематически связанные с сервисами Cloudflare, используя домены, имитирующие библиотеки для разработчиков, платформы для онлайн-встреч и системы верификации документов.
В качестве полезной нагрузки CastleLoader доставляет множество вредоносных программ. Согласно анализу PRODAFT, среди них были замечены стилеры DeerStealer, RedLine и StealC, а также трояны NetSupport RAT, SectopRAT и загрузчик Hijack Loader. Более поздний анализ, проведенный IBM X-Force, дополнил этот список вредоносами MonsterV2 и WARMCOOKIE.
Разработка нового флагманского инструмента, CastleRAT, началась предположительно в марте 2025 года. Его базовый функционал включает сбор системной информации, загрузку и выполнение дополнительных файлов, исполнение команд через CMD и PowerShell, предоставление удаленного доступа к командной строке и возможность самоудаления. CastleRAT существует в двух основных вариантах: версия на языке Python, также известная как PyNightshade, и более продвинутая версия, написанная на C.
Вариант CastleRAT на C обладает расширенными возможностями. Он способен регистрировать нажатия клавиш, делать снимки экрана, загружать и выгружать файлы, а также функционировать как криптовалютный клиппер, подменяя адреса кошельков в буфере обмена жертвы. Для сбора информации этот вариант обращается к геолокационному сервису
Инфраструктура управления и контроля (C2) CastleRAT имеет многоуровневую структуру. Первый уровень состоит из серверов, напрямую взаимодействующих с жертвами. Второй и третий уровни — это преимущественно виртуальные частные серверы (VPS), а четвертый уровень включает резервные серверы. Для сокрытия адресов C2-серверов используется механизм, применяющий профили Steam Community в качестве «мертвых почтовых ящиков» (dead drop resolvers). В качестве примера C2-домена был зафиксирован
Аналитики из компании eSentire, которые отслеживают эту угрозу под названием NightshadeC2, выявили использование.NET-загрузчика для развертывания трояна. Одной из ключевых техник уклонения от обнаружения является «бомбардировка запросами UAC» (UAC Prompt Bombing). Команда PowerShell в цикле пытается добавить исключение для вредоноса в Windows Defender. Если код завершения равен нулю (успех), исключение добавляется. Если код ненулевой, цикл повторяется, заставляя пользователя многократно одобрять запрос контроля учетных записей. Этот метод также эффективно обходит автоматизированные песочницы, где служба WinDefend часто отключена, зацикливая их анализ.
Дополнительно, по данным eSentire, NightshadeC2 способен извлекать пароли и файлы cookie из веб-браузеров на основе Chromium и Gecko. Параллельно с деятельностью TAG-150 были отмечены и другие вредоносные программы. Например, загрузчик TinyLoader, проанализированный , доставляет Redline Stealer и DCRat, закрепляется в системе через реестр Windows, подменяет адреса криптокошельков и распространяется через USB-накопители и сетевые диски. Его управляющие серверы расположены в Латвии, Великобритании и Нидерландах.
Среди других угроз — кейлоггер для Windows под названием TinkyWinkey, проанализированный CYFIRMA, который использует комбинацию постоянных служб и низкоуровневых перехватчиков клавиатуры для сбора данных. Также был выявлен информационный стилер Inf0s3c Stealer на Python, который собирает системные данные, делает снимки экрана и создает иерархические списки файлов в каталогах пользователя. Этот стилер имеет сходство с вредоносами Blank Grabber и Umbral-Stealer, что может указывать на общего автора.
Изображение носит иллюстративный характер
CastleLoader, впервые задокументированный швейцарской компанией по кибербезопасности PRODAFT в июле 2025 года, служит вектором первоначального доступа для доставки широкого спектра вредоносных программ. Для заражения систем операторы используют SEO-оптимизацию для продвижения вредоносных сайтов, создают мошеннические репозитории на GitHub, маскирующиеся под легитимные приложения, а также применяют фишинговые атаки "ClickFix", тематически связанные с сервисами Cloudflare, используя домены, имитирующие библиотеки для разработчиков, платформы для онлайн-встреч и системы верификации документов.
В качестве полезной нагрузки CastleLoader доставляет множество вредоносных программ. Согласно анализу PRODAFT, среди них были замечены стилеры DeerStealer, RedLine и StealC, а также трояны NetSupport RAT, SectopRAT и загрузчик Hijack Loader. Более поздний анализ, проведенный IBM X-Force, дополнил этот список вредоносами MonsterV2 и WARMCOOKIE.
Разработка нового флагманского инструмента, CastleRAT, началась предположительно в марте 2025 года. Его базовый функционал включает сбор системной информации, загрузку и выполнение дополнительных файлов, исполнение команд через CMD и PowerShell, предоставление удаленного доступа к командной строке и возможность самоудаления. CastleRAT существует в двух основных вариантах: версия на языке Python, также известная как PyNightshade, и более продвинутая версия, написанная на C.
Вариант CastleRAT на C обладает расширенными возможностями. Он способен регистрировать нажатия клавиш, делать снимки экрана, загружать и выгружать файлы, а также функционировать как криптовалютный клиппер, подменяя адреса кошельков в буфере обмена жертвы. Для сбора информации этот вариант обращается к геолокационному сервису
ip-api[.]com для получения публичного IP-адреса, города, почтового индекса и данных об использовании VPN, прокси или сети Tor. Активная разработка вредоноса продолжается: в последних версиях был удален сбор данных о городе и почтовом индексе. Инфраструктура управления и контроля (C2) CastleRAT имеет многоуровневую структуру. Первый уровень состоит из серверов, напрямую взаимодействующих с жертвами. Второй и третий уровни — это преимущественно виртуальные частные серверы (VPS), а четвертый уровень включает резервные серверы. Для сокрытия адресов C2-серверов используется механизм, применяющий профили Steam Community в качестве «мертвых почтовых ящиков» (dead drop resolvers). В качестве примера C2-домена был зафиксирован
programsbookss[.]com. Аналитики из компании eSentire, которые отслеживают эту угрозу под названием NightshadeC2, выявили использование.NET-загрузчика для развертывания трояна. Одной из ключевых техник уклонения от обнаружения является «бомбардировка запросами UAC» (UAC Prompt Bombing). Команда PowerShell в цикле пытается добавить исключение для вредоноса в Windows Defender. Если код завершения равен нулю (успех), исключение добавляется. Если код ненулевой, цикл повторяется, заставляя пользователя многократно одобрять запрос контроля учетных записей. Этот метод также эффективно обходит автоматизированные песочницы, где служба WinDefend часто отключена, зацикливая их анализ.
Дополнительно, по данным eSentire, NightshadeC2 способен извлекать пароли и файлы cookie из веб-браузеров на основе Chromium и Gecko. Параллельно с деятельностью TAG-150 были отмечены и другие вредоносные программы. Например, загрузчик TinyLoader, проанализированный , доставляет Redline Stealer и DCRat, закрепляется в системе через реестр Windows, подменяет адреса криптокошельков и распространяется через USB-накопители и сетевые диски. Его управляющие серверы расположены в Латвии, Великобритании и Нидерландах.
Среди других угроз — кейлоггер для Windows под названием TinkyWinkey, проанализированный CYFIRMA, который использует комбинацию постоянных служб и низкоуровневых перехватчиков клавиатуры для сбора данных. Также был выявлен информационный стилер Inf0s3c Stealer на Python, который собирает системные данные, делает снимки экрана и создает иерархические списки файлов в каталогах пользователя. Этот стилер имеет сходство с вредоносами Blank Grabber и Umbral-Stealer, что может указывать на общего автора.
