Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware CastleLoader

Malware CastleLoader

Por Mezo en Software malicioso
Traducir a:

En el panorama en constante evolución de las ciberamenazas, un nuevo cargador de malware, denominado CastleLoader, se ha convertido en una herramienta clave en el arsenal de los ciberdelincuentes. Detectado por primera vez a principios de 2025, CastleLoader ha cobrado rápidamente popularidad gracias a su modularidad, sus avanzadas tácticas de evasión y su adaptabilidad. Los investigadores han observado su papel en múltiples campañas que implementan ladrones de información y troyanos de acceso remoto (RAT), lo que lo convierte en una preocupación creciente en el ecosistema de malware como servicio (MaaS).

Versatilidad en acción: una poderosa herramienta de distribución

CastleLoader se ha utilizado para distribuir una amplia gama de cargas útiles maliciosas, entre las que se incluyen:

  • Ladrones de información: DeerStealer, RedLine, StealC
  • Troyanos de acceso remoto (RAT): NetSupport RAT, SectopRAT

Su estructura modular permite a CastleLoader funcionar como un dropper inicial y un cargador de segunda etapa, lo que permite a los atacantes desacoplar el vector de infección de la carga útil. Esta separación complica las tareas de detección y respuesta, dificultando considerablemente la atribución.

Ofuscación y evasión: mantenerse un paso adelante

CastleLoader utiliza varias técnicas avanzadas para evitar la detección y dificultar el análisis:

  • Inyección y empaquetamiento de código muerto para ocultar su verdadera funcionalidad.
  • Desempaquetado en tiempo de ejecución para retrasar la ejecución hasta después de evadir las capas de escaneo iniciales.
  • Medidas anti-sandboxing y ofuscación, comparables a cargadores sofisticados como SmokeLoader e IceID.

Una vez descomprimido, el cargador se conecta a su servidor de Comando y Control (C2), descarga módulos adicionales e inicia su ejecución. Las cargas útiles suelen entregarse como ejecutables portátiles con shellcode integrado, que inicia las rutinas principales del cargador.

Tácticas y técnicas: el engaño en su núcleo

Las campañas que utilizan CastleLoader dependen en gran medida de la ingeniería social, en particular:

Ataques de phishing con temática de ClickFix
Las víctimas son atraídas a dominios maliciosos, haciéndose pasar por plataformas de videoconferencia, actualizaciones de navegador, bibliotecas de desarrolladores o portales de verificación de documentos, a través de resultados de búsqueda de Google envenenados. Estas páginas contienen mensajes de error falsos o solicitudes CAPTCHA que instruyen a los usuarios a ejecutar comandos de PowerShell, iniciando la infección sin saberlo. Los ataques ClickFix se han convertido en una técnica generalizada adoptada por numerosos grupos de hackers.

Repositorios falsos de GitHub
CastleLoader también se propaga a través de repositorios que imitan herramientas legítimas de código abierto. Desarrolladores desprevenidos pueden ejecutar scripts de instalación aparentemente confiables desde estos repositorios, infectando sus sistemas sin darse cuenta. Esta táctica se aprovecha de la aparente legitimidad de GitHub y de la confianza habitual de los desarrolladores en los repositorios abiertos.

Estas estrategias reflejan técnicas comúnmente utilizadas por los corredores de acceso inicial (IAB), lo que refuerza la posición de CastleLoader dentro de una cadena de suministro cibercriminal más amplia.

Campañas superpuestas y expansión del alcance

Los investigadores han documentado el uso de CastleLoader y DeerStealer en campañas cruzadas, y han observado que algunas variantes de Hijack Loader se distribuyeron mediante ambas herramientas. Si bien los actores de amenazas detrás de cada campaña pueden diferir, el uso coincidente de cargadores indica un ecosistema o modelo de servicio compartido entre los grupos cibercriminales.

Desde mayo de 2025, se ha observado que CastleLoader utiliza siete servidores C2 únicos, con 1634 intentos de infección registrados. De estos, 469 dispositivos fueron comprometidos con éxito, lo que resulta en una tasa de éxito de infección del 28,7 %.

La infraestructura detrás de la amenaza

La infraestructura C2 que soporta CastleLoader es notablemente robusta. Su panel web asociado proporciona un control centralizado sobre los sistemas infectados, imitando las características de las plataformas de malware como servicio. Esto indica una operación experimentada y organizada tras el desarrollo e implementación del cargador.

Conclusiones clave: La creciente amenaza de CastleLoader

CastleLoader no es sólo un cargador, es un facilitador estratégico de campañas de malware más amplias.

Su diseño modular, sus funciones antianálisis y sus diversas tácticas de entrega lo convierten en una herramienta privilegiada para los actores de amenazas que buscan flexibilidad y sigilo.

Al abusar de plataformas confiables como GitHub y explotar el comportamiento de los usuarios a través de la ingeniería social, CastleLoader subraya la necesidad de una mayor vigilancia y estrategias defensivas tanto en entornos empresariales como de desarrolladores.

A medida que esta amenaza continúa evolucionando, los defensores deben permanecer alertas ante nuevas tácticas y fortalecer las defensas contra los cargadores que operan detrás de escena para impulsar el ciberdelito a gran escala.

 

Tendencias

Mas Visto

Cargando...