Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
CastleLoader: Il nuovo arsenale dei cybercriminali nel 2025
Il panorama della cybersicurezza nel 2025 si arricchisce di un nuovo attore minaccioso: CastleLoader, un malware loader sempre più diffuso, utilizzato da almeno quattro cluster distinti di cybercriminali. L’attore principale dietro CastleLoader, noto come GrayBravo, ha dimostrato una notevole capacità di adattamento, sviluppo rapido e infrastruttura in continua evoluzione, offrendo CastleLoader ad altri gruppi tramite un modello malware-as-a-service (MaaS).
GrayBravo si distingue per una suite di strumenti avanzati come il trojan di accesso remoto CastleRAT e il framework CastleBot, che comprende uno stager shellcode, un loader e una backdoor principale. Il loader funge da trampolino di lancio, iniettando il modulo core in grado di comunicare con server di comando e controllo per ricevere istruzioni e scaricare payload ulteriori, tra cui DLL, EXE e PE. Il framework CastleLoader è stato utilizzato per distribuire noti malware come DeerStealer, RedLine Stealer, StealC Stealer, NetSupport RAT, SectopRAT, MonsterV2, WARMCOOKIE e anche altri loader come Hijack Loader.
Principali cluster che impiegano CastleLoader
- Il primo cluster (TAG-160) prende di mira il settore della logistica tramite campagne di phishing e ClickFix, attivo almeno da marzo 2025.
- Il secondo cluster (TAG-161) sfrutta campagne ClickFix a tema Booking.com per diffondere CastleLoader e Matanbuchus 3.0, operativo da giugno 2025.
- Il terzo cluster utilizza infrastrutture che impersonano Booking.com e pagine Steam Community come dead drop resolver, veicolando CastleRAT tramite CastleLoader.
- Il quarto cluster si concentra su malvertising e falsi aggiornamenti software (ad esempio Zabbix e RVTools) per distribuire CastleLoader e NetSupport RAT.
GrayBravo ha sviluppato un’infrastruttura multi-livello solida, con server C2 rivolti alle vittime e VPS di backup, garantendo resilienza e persistenza delle campagne. In particolare, il cluster TAG-160 si avvale anche di account fraudolenti o compromessi su piattaforme di matching merci (come DAT Freight & Analytics e Loadlink Technologies) per aumentare la credibilità delle proprie campagne di phishing.
Questa crescita nell’adozione di CastleLoader da parte di diversi gruppi evidenzia come strumenti tecnicamente avanzati, quando offerti come servizio, possano diffondersi rapidamente nel panorama cybercriminale. Le campagne mostrano una profonda conoscenza operativa dei settori attaccati, con attacchi mirati che imitano comunicazioni legittime e sfruttano piattaforme di settore per massimizzare l’efficacia delle infezioni.