Los investigadores de ciberseguridad han arrojado luz sobre un nuevo cargador de malware versátil llamado Castillo de castillo Eso se ha utilizado en campañas que distribuyen varios robadores de información y troyanos de acceso remoto (ratas).
La actividad emplea ataques de phishing de clickfix con temática de Cloudflare y repositorios falsos de GitHub abierto bajo los nombres de aplicaciones legítimas, dijo la compañía suiza de ciberseguridad Productaft en un informe compartido con las noticias de los hackers.
El cargador de malware, observado por primera vez en la naturaleza a principios de este año, se ha utilizado para distribuir Deerstealer, Redline, Stealc, NetSupport Rat, Sectoprat e incluso otros cargadores como Hijack Loader.
«Emplea técnicas de inyección y empaque de código muerto para obstaculizar el análisis», dijo la compañía. «Después de desempaquetarse en tiempo de ejecución, se conecta a un servidor C2 (comando y control), descarga módulos de destino y los ejecuta».
La estructura modular de Castleloader le permite actuar como un mecanismo de entrega y una utilidad de preparación, lo que permite a los actores de amenaza separar la infección inicial de la implementación de la carga útil. Esta separación complica la atribución y la respuesta porque desacopla el vector de infección del eventual comportamiento de malware, dando a los atacantes más flexibilidad para adaptar las campañas a lo largo del tiempo.
Las cargas útiles de CastLeloader se distribuyen como ejecutables portátiles que contienen un código de sheller integrado, que luego invoca el módulo principal del cargador que, a su vez, se conecta al servidor C2 para obtener y ejecutar el malware en la siguiente etapa.
Los ataques que distribuyen el malware se han basado en la técnica de ClickFix prevalente en dominios que se hacen pasar por bibliotecas de desarrollo de software, plataformas de videoconferencia, notificaciones de actualización del navegador o sistemas de verificación de documentos, en última instancia, engañando a los usuarios para copiar y ejecutar comandos PowerShell que activan la cadena de infección.
Las víctimas se dirigen a los dominios falsos a través de las búsquedas de Google, momento en el que se les atiende páginas que contienen mensajes de error falsos y cuadros de verificación Captcha desarrollados por los actores de amenaza, pidiéndoles que lleven a cabo una serie de instrucciones para supuestamente abordar el problema.
Alternativamente, Castleloader aprovecha los repositorios falsos de GitHub que imitan las herramientas legítimas como un vector de distribución, lo que hace que los usuarios que los descarguen sin saberlo comprometan sus máquinas con malware.
«Esta técnica explota la confianza de los desarrolladores en GitHub y su tendencia a ejecutar comandos de instalación desde repositorios que parecen acreditados», dijo ProDaft.
Este abuso estratégico de las técnicas de reflejos de ingeniería social utilizadas en los corredores de acceso inicial (IABS), lo que subraya su papel dentro de una cadena de suministro de cibercrimen más amplia.
ProDaft dijo que ha observado que el cargador de secuestros se entrega a través de Deerstealer y Castleloader, y este último también propaga las variantes de Deerstealer. Esto sugiere la naturaleza superpuesta de estas campañas, a pesar de que están orquestados por diferentes actores de amenazas.
Desde mayo de 2025, las campañas de Castleloader han aprovechado siete servidores C2 distintos, con más de 1,634 intentos de infección registrados durante el período de tiempo. El análisis de su infraestructura C2 y su panel basado en la web, que se utiliza para supervisar y administrar las infecciones, muestra que hasta 469 dispositivos se vieron comprometidos, lo que resultó en una tasa de infección del 28,7%.
Los investigadores también observaron elementos de anti-sandboxing y ofuscación, características típicas en cargadores avanzados como Smokeloader o Iceid. Combinado con el abuso de PowerShell, la suplantación de GitHub y el desempaquetado dinámico, Castleloader refleja una tendencia creciente en los cargadores de malware sigilosos que operan como decepcionantes en los ecosistemas de malware como servicio (MAAS).
«Castle Loader es una amenaza nueva y activa, rápidamente adoptada por varias campañas maliciosas para desplegar una variedad de otros cargadores y robos», dijo ProDaft. «Sus sofisticadas técnicas contra el análisis y el proceso de infección en múltiples etapas resaltan su efectividad como un mecanismo de distribución primaria en el panorama de amenazas actual».
«El panel C2 demuestra capacidades operativas típicamente asociadas con las ofertas de malware como servicio (MAAS), lo que sugiere que los operadores tienen experiencia en el desarrollo de la infraestructura cibercriminal».