Un nuevo marco de malware sofisticado llamado Castlebot ha surgido como una amenaza significativa para la ciberseguridad, que funciona como una plataforma de malware como servicio (MAAS) que permite a los ciberdelabinales desplegar diversas cargas de útiles maliciosas que van desde infantes de infantes hasta los atrasos vinculados a ataques de ransomware.
Apareciendo por primera vez a principios de 2025, el malware ha demostrado una notable adaptabilidad y sofisticación técnica, con los niveles de actividad aumentando significativamente a partir de mayo de 2025.
El método de distribución principal de Castlebot involucra a los instaladores de software troyanizados descargados de sitios web falsos, explotando técnicas de envenenamiento de SEO que hacen que las páginas maliciosas se clasifiquen más que los distribuidores de software legítimos en los resultados de los motores de búsqueda.
Este enfoque atrae a los usuarios desprevenidos al lanzar infecciones mismas, que representa una tendencia creciente en el delito cibernético donde la ingeniería social reemplaza las hazañas técnicas tradicionales.
El malware también se ha distribuido a través de repositorios de GitHub que se hace pasar por software legítimo y a través de la técnica ClickFix cada vez más popular.
La versatilidad del marco se hace evidente a través de su implementación de varias cargas útiles de alto impacto, incluidas las puestas de fondo de NetSupport y Warmcookie que se han vinculado directamente a las operaciones de ransomware.
Analistas de IBM identificado Castlebot como parte de un ecosistema más amplio que permite ataques de ransomware, señalando que el malware permite a los operadores filtrar fácilmente a las víctimas, administrar infecciones continuas e implementar malware en objetivos de alto valor con precisión.
Lo que hace que Castlebot sea particularmente preocupante es su arquitectura de tres etapas que consiste en un stager/descargador, un cargador y un componente central de puerta trasera.
Este enfoque modular proporciona a los operadores flexibilidad excepcional en la implementación de la carga útil, al tiempo que complica los esfuerzos de detección.
El malware se comunica con los servidores de comando y control para solicitar tareas específicas, permitiendo la gestión dinámica de la campaña y las actualizaciones de carga útil en tiempo real basadas en el perfil de víctimas.
Cadena de infección de tres etapas
La sofisticación técnica de Castlebot se encuentra en su proceso de infección de múltiples capas que comienza con un stager liviano de shellcode.
Este componente inicial descarga dos cargas útiles a través de solicitudes HTTP utilizando el agente de usuario “GO” con sufijos variables entre muestras.
Castlebot Infection Chain (Fuente – IBM)
El Stager recupera archivos de URL como http://173.44.141.89/service/download/data_3x.bin y http://173.44.141.89/service/download/data_4x.bin, que luego se descria utilizando XOR de XOR “.
El malware emplea el algoritmo de hash DJB2 para la resolución API en tiempo de ejecución, lo que hace que el análisis estático sea más desafiante.
Tras la recuperación de carga útil exitosa, el Stager usa VirtualProtect para habilitar la ejecución en el montón, ejecutando directamente el componente del cargador CastleBot en la memoria mientras pasa la puerta trasera central como argumento.
El cargador CastleBot representa un cargador PE totalmente funcionado que mapea secciones en regiones de memoria asignadas a través de NtallocateVirtualMemory.
En particular, establece nuevas estructuras LDR_DATA_TABLE_ENTRY y LDR_DDAG_NODE, agregándolas a las listas vinculadas PEB_LDR_DATA para hacer que las cargas útiles inyectadas parezcan legítimamente cargadas por el sistema operativo, evadiendo efectivamente los mecanismos de detección EDR que monitorean el bloque de entorno de proceso.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
