Castleloader, un sofisticado cargador de malware que surgió a principios de 2025, ha comprometido con éxito 469 dispositivos de 1,634 intentos de infección desde mayo de 2025, logrando una tasa de infección alarmante del 28,7%.
Esta amenaza versátil se ha dirigido principalmente a las entidades gubernamentales de los Estados Unidos a través de campañas de phishing avanzadas que explotan la confianza del usuario en plataformas y servicios legítimos.
El malware emplea dos vectores de infección primarios para engañar a las víctimas para ejecutar código malicioso.
El primer método utiliza técnicas de phishing ClickFix con temas de servicios de CloudFlare, donde los atacantes crean dominios fraudulentos que imitan plataformas de confianza como bibliotecas de desarrollo de software, Google Meet o notificaciones de actualización del navegador.
Estas páginas engañosas muestran mensajes de error fabricados o indicaciones de captcha, manipulando a los usuarios para que copien y ejecute comandos de PowerShell maliciosos a través del indicador de Windows Run.
Analistas de polyswarm identificado El método de infección secundaria de Castleloader, que aprovecha los repositorios falsos de GitHub disfrazados de herramientas de software legítimas.
Un ejemplo notable incluye un repositorio disfrazado de SQL Server Management Studio (SSMS-LIB), explotando la confianza inherente de los desarrolladores en la plataforma GitHub para distribuir instaladores maliciosos que establecen conexiones con servidores de comando y control.
El malware demuestra una notable versatilidad en sus capacidades de entrega de carga útil, implementando varias amenazas secundarias, incluidas STEALC, Redline, DeerSerer, NetSupport Rat, Sectoprat y Hijackloader.
Estas cargas útiles tienen diferentes propósitos maliciosos, desde la recolección de credenciales y el robo de billetera de criptomonedas hasta el establecimiento de acceso persistente de puerta trasera para el control continuo del sistema.
Arquitectura técnica e infraestructura C2
La sofisticación técnica de Castleloader se hace evidente a través de su proceso de ejecución de varias etapas utilizando scripts de PowerShell y Autoit.
Después del compromiso inicial, el componente Autoit carga shellcode directamente en la memoria del sistema como una biblioteca de enlaces dinámico (DLL), lo que posteriormente resuelve los nombres de DLL hash y las llamadas API para establecer la comunicación con uno de los siete servidores de comando y controles distintos.
Los operadores de malware administran su infraestructura a través de un panel de control integral basado en la web que proporciona telemetría de víctimas detallada, incluidos identificadores únicos, direcciones IP e información integral del sistema.
Este panel presenta módulos especializados para la gestión de la carga útil y el control preciso de la distribución, admitiendo capacidades de orientación geográfica y contenedores de Docker cifrados para mejorar la seguridad operativa y evadir los mecanismos de detección.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
