Аналитики Insikt Group из компании Recorded Future, принадлежащей Mastercard, официально подтвердили переход вредоносного загрузчика CastleLoader на бизнес-модель «Вредоносное ПО как услуга» (Malware-as-a-Service, MaaS). Эксперты зафиксировали значительное расширение пользовательской базы и инфраструктуры, используемой для распространения этого инструмента. На сегодняшний день выявлено четыре независимых кластера угроз, активно использующих CastleLoader в своих операциях. Это подтверждает, что инструмент вышел за рамки частного использования и теперь предлагается широкому кругу киберпреступников на коммерческой основе.
За разработкой и поддержкой загрузчика стоит субъект угроз, который теперь отслеживается под именем GrayBravo, а ранее был известен как TAG-150. Характерными чертами этой группировки являются быстрые циклы разработки, высокая техническая сложность и оперативная реакция на публичные отчеты по безопасности. GrayBravo постоянно совершенствует свою обширную инфраструктуру, адаптируя ее под новые задачи клиентов. Ключевым элементом их арсенала остается CastleLoader, который выступает основным продуктом в сервисной модели, а также собственный троян удаленного доступа CastleRAT.
В технический инструментарий группировки также входит фреймворк CastleBot, состоящий из трех компонентов: стейджера-загрузчика шелл-кода, непосредственно лоадера и основного бэкдора. CastleBot обладает возможностями внедрения основного модуля, связи с командными серверами (Command-and-Control, C2) и получения задач на загрузку и выполнение полезной нагрузки в форматах DLL, EXE и PE. Инфраструктура GrayBravo используется для распространения широкого спектра сторонних семейств вредоносного ПО, включая DeerStealer, RedLine Stealer, StealC Stealer, NetSupport RAT, SectopRAT, MonsterV2, WARMCOOKIE, Hijack Loader и Matanbuchus 3.0.
Первый кластер активности, идентифицированный как TAG-160, начал действовать не позднее марта 2025 года и нацелен на сектор логистики. Злоумышленники применяют фишинг, техники ClickFix и создают скомпрометированные или мошеннические аккаунты на платформах по подбору грузов, выдавая себя за DAT Freight & Analytics и Loadlink Technologies. Группировка копирует аутентичные отраслевые коммуникации для повышения доверия жертв. Специалисты с низкой степенью уверенности связывают TAG-160 с неатрибутированным кластером, который атаковал североамериканские транспортные и логистические компании в прошлом году.
Второй кластер, получивший идентификатор TAG-161, был замечен в активности начиная с июня 2025 года. Эти злоумышленники также используют методы ClickFix, но в качестве приманки эксплуатируют тематику платформы . Основная цель операций TAG-161 заключается в доставке полезной нагрузки, состоящей из CastleLoader и вредоносного ПО Matanbuchus 3.0.
Третий кластер угроз, активный как минимум с марта 2025 года, отличается использованием техники Dead Drop Resolver через страницы сообщества Steam (Steam Community). Злоумышленники маскируют свою инфраструктуру под и применяют методы ClickFix для обмана пользователей. Основной задачей этого кластера является доставка трояна CastleRAT посредством загрузчика CastleLoader.
Четвертый кластер, зафиксированный в апреле 2025 года, специализируется на вредоносной рекламе (malvertising) и приманках в виде поддельных обновлений программного обеспечения. Преступники имитируют популярные утилиты Zabbix и RVTools для введения пользователей в заблуждение. В ходе этих кампаний на устройства жертв загружаются CastleLoader и NetSupport RAT.
Инфраструктура GrayBravo построена по многоуровневому принципу для обеспечения устойчивости операций. Первый уровень (Tier 1) включает серверы управления и контроля, непосредственно взаимодействующие с жертвами и связанные с CastleLoader, CastleRAT, SectopRAT и WARMCOOKIE. Для защиты от блокировок и сбоев группировка использует множество серверов VPS (Virtual Private Server), которые, вероятно, функционируют в качестве резервных копий.
Изображение носит иллюстративный характер
За разработкой и поддержкой загрузчика стоит субъект угроз, который теперь отслеживается под именем GrayBravo, а ранее был известен как TAG-150. Характерными чертами этой группировки являются быстрые циклы разработки, высокая техническая сложность и оперативная реакция на публичные отчеты по безопасности. GrayBravo постоянно совершенствует свою обширную инфраструктуру, адаптируя ее под новые задачи клиентов. Ключевым элементом их арсенала остается CastleLoader, который выступает основным продуктом в сервисной модели, а также собственный троян удаленного доступа CastleRAT.
В технический инструментарий группировки также входит фреймворк CastleBot, состоящий из трех компонентов: стейджера-загрузчика шелл-кода, непосредственно лоадера и основного бэкдора. CastleBot обладает возможностями внедрения основного модуля, связи с командными серверами (Command-and-Control, C2) и получения задач на загрузку и выполнение полезной нагрузки в форматах DLL, EXE и PE. Инфраструктура GrayBravo используется для распространения широкого спектра сторонних семейств вредоносного ПО, включая DeerStealer, RedLine Stealer, StealC Stealer, NetSupport RAT, SectopRAT, MonsterV2, WARMCOOKIE, Hijack Loader и Matanbuchus 3.0.
Первый кластер активности, идентифицированный как TAG-160, начал действовать не позднее марта 2025 года и нацелен на сектор логистики. Злоумышленники применяют фишинг, техники ClickFix и создают скомпрометированные или мошеннические аккаунты на платформах по подбору грузов, выдавая себя за DAT Freight & Analytics и Loadlink Technologies. Группировка копирует аутентичные отраслевые коммуникации для повышения доверия жертв. Специалисты с низкой степенью уверенности связывают TAG-160 с неатрибутированным кластером, который атаковал североамериканские транспортные и логистические компании в прошлом году.
Второй кластер, получивший идентификатор TAG-161, был замечен в активности начиная с июня 2025 года. Эти злоумышленники также используют методы ClickFix, но в качестве приманки эксплуатируют тематику платформы . Основная цель операций TAG-161 заключается в доставке полезной нагрузки, состоящей из CastleLoader и вредоносного ПО Matanbuchus 3.0.
Третий кластер угроз, активный как минимум с марта 2025 года, отличается использованием техники Dead Drop Resolver через страницы сообщества Steam (Steam Community). Злоумышленники маскируют свою инфраструктуру под и применяют методы ClickFix для обмана пользователей. Основной задачей этого кластера является доставка трояна CastleRAT посредством загрузчика CastleLoader.
Четвертый кластер, зафиксированный в апреле 2025 года, специализируется на вредоносной рекламе (malvertising) и приманках в виде поддельных обновлений программного обеспечения. Преступники имитируют популярные утилиты Zabbix и RVTools для введения пользователей в заблуждение. В ходе этих кампаний на устройства жертв загружаются CastleLoader и NetSupport RAT.
Инфраструктура GrayBravo построена по многоуровневому принципу для обеспечения устойчивости операций. Первый уровень (Tier 1) включает серверы управления и контроля, непосредственно взаимодействующие с жертвами и связанные с CastleLoader, CastleRAT, SectopRAT и WARMCOOKIE. Для защиты от блокировок и сбоев группировка использует множество серверов VPS (Virtual Private Server), которые, вероятно, функционируют в качестве резервных копий.
