CastleLoader: Il nuovo arsenale dei cybercriminali nel 2025

News
Visite: 101

Il panorama della cybersicurezza nel 2025 si arricchisce di un nuovo attore minaccioso: CastleLoader, un malware loader sempre più diffuso, utilizzato da almeno quattro cluster distinti di cybercriminali. L’attore principale dietro CastleLoader, noto come GrayBravo, ha dimostrato una notevole capacità di adattamento, sviluppo rapido e infrastruttura in continua evoluzione, offrendo CastleLoader ad altri gruppi tramite un modello malware-as-a-service (MaaS).

GrayBravo si distingue per una suite di strumenti avanzati come il trojan di accesso remoto CastleRAT e il framework CastleBot, che comprende uno stager shellcode, un loader e una backdoor principale. Il loader funge da trampolino di lancio, iniettando il modulo core in grado di comunicare con server di comando e controllo per ricevere istruzioni e scaricare payload ulteriori, tra cui DLL, EXE e PE. Il framework CastleLoader è stato utilizzato per distribuire noti malware come DeerStealer, RedLine Stealer, StealC Stealer, NetSupport RAT, SectopRAT, MonsterV2, WARMCOOKIE e anche altri loader come Hijack Loader.

Principali cluster che impiegano CastleLoader
  • Il primo cluster (TAG-160) prende di mira il settore della logistica tramite campagne di phishing e ClickFix, attivo almeno da marzo 2025.
  • Il secondo cluster (TAG-161) sfrutta campagne ClickFix a tema Booking.com per diffondere CastleLoader e Matanbuchus 3.0, operativo da giugno 2025.
  • Il terzo cluster utilizza infrastrutture che impersonano Booking.com e pagine Steam Community come dead drop resolver, veicolando CastleRAT tramite CastleLoader.
  • Il quarto cluster si concentra su malvertising e falsi aggiornamenti software (ad esempio Zabbix e RVTools) per distribuire CastleLoader e NetSupport RAT.

GrayBravo ha sviluppato un’infrastruttura multi-livello solida, con server C2 rivolti alle vittime e VPS di backup, garantendo resilienza e persistenza delle campagne. In particolare, il cluster TAG-160 si avvale anche di account fraudolenti o compromessi su piattaforme di matching merci (come DAT Freight & Analytics e Loadlink Technologies) per aumentare la credibilità delle proprie campagne di phishing.

Questa crescita nell’adozione di CastleLoader da parte di diversi gruppi evidenzia come strumenti tecnicamente avanzati, quando offerti come servizio, possano diffondersi rapidamente nel panorama cybercriminale. Le campagne mostrano una profonda conoscenza operativa dei settori attaccati, con attacchi mirati che imitano comunicazioni legittime e sfruttano piattaforme di settore per massimizzare l’efficacia delle infezioni.

Pin It
, , ,

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta