CastleLoader és CastleRAT
A Darktrace jelentés szerint 2025 eleje óta egy viszonylag új, de gyorsan fejlődő zsaroló- és kémprogram-szolgáltató (MaaS) csoport, a TAG-150 olyan moduláris malware-platformot működtet, amely a legfrissebb trendeknek megfelelően rendkívül rugalmas, nehezen detektálható és többlépcsős fertőzési láncot alkalmaz. A platform gerincét a CastleLoader képezi — egy loader-komponens, amely elsődleges feladata, hogy hamisított weboldalak, álcázott domain-nevek és klónozott GitHub-repo-k segítségével újabb és újabb kártevőket telepítsen a fertőzött gépekre.
Amint a CastleLoader letölti és elindítja a lőszer-payloadot, gyakran a CastleRAT következik — egy távoli vezérlésű trójai, amely mind Windows, mind más környezetekben működő változattal elérhető. A RAT lehetőséget ad a támadóknak arra, hogy shell-parancsokat futtassanak, fájlokat töltsenek le vagy fel, képernyőt rögzítsenek, billentyűleütéseket naplózzanak, vagy akár teljes jogosultságot szerezzenek.
A fertőzési lánc eleje jellemzően pszichológiai megtévesztési alapú ClickFix támadáson keresztül indul, az áldozat egy hamis dokumentum-ellenőrző vagy böngésző-frissítő oldalra kerül, ahol megtévesztő instrukciókat kap – pl. egy PowerShell-parancs futtatására –, ami elindítja a loader letöltését. Alternatív módszerként klónozott GitHub-repo-kat is használnak — így az áldozat gyakran saját eszközén, saját akaratából futtat káros kódot.
A moduláris felépítés és a kettős-lépcsős modell lehetővé teszi, hogy a kezdeti fertőzés minimális nyomot hagyjon, a végső payload pedig testre szabható legyen a célzott szervezet profiljához — legyen az adatlopás, credential-exfiltráció, backdoor beágyazás vagy akár ransomware payload aktiválása.
A TAG-150 több rétegű szerverparkot működtet, beleértve elsődleges à la carte C2- szervereket az áldozatok számára, valamint külön VPS-ekből, proxykból és tartalék szerverekből álló háttérrendszert, ami jelentősen megnehezíti a lehatást és az attribúciót.
