TAG-150 Develops CastleRAT in Python and C, Expanding CastleLoader Malware Operations

Extension des Opérations de Malware : Lancement de CastleRAT par TAG-150

Le groupe de menace identifié comme TAG-150, déjà actif avec son framework de malware en tant que service (MaaS) et chargeur nommé CastleLoader, a développé une nouvelle menace : un cheval de Troie d’accès à distance (RAT) appelé CastleRAT. Ce dernier est disponible en deux versions, l’une en Python (également connue sous le nom de PyNightshade ou NightshadeC2) et l’autre en C.

CastleRAT permet la collecte d’informations système, le téléchargement et l’exécution de charges utiles supplémentaires, et l’exécution de commandes via CMD et PowerShell. La version C est plus fonctionnelle, incluant la journalisation des frappes clavier, la capture d’écran, le transfert de fichiers, et agit comme un “clipper” de cryptomonnaies pour détourner des transactions. Les deux variantes utilisent le service de géolocalisation IP ip-api.com.

CastleLoader, documenté pour la première fois en juillet 2025, a servi de vecteur d’accès initial pour une variété de malwares, incluant DeerStealer, RedLine, StealC, NetSupport RAT, SectopRAT, MonsterV2, et WARMCOOKIE. Les infections débutent souvent via des attaques de phishing de type “ClickFix” (imitant des services comme Cloudflare) ou des dépôts GitHub frauduleux.

Points Clés :

• TAG-150 : Un groupe de menace derrière les malwares CastleLoader et CastleRAT.
• CastleRAT : Un nouveau RAT développé en Python et C, et un cheval de Troie d’accès à distance.
• CastleLoader : Un framework MaaS et chargeur utilisé comme vecteur d’accès initial.
• Méthodes d’Infection : Phishing “ClickFix”, faux dépôts GitHub, clés USB, partages réseau, raccourcis trompeurs.
• Fonctionnalités de CastleRAT (C) : Journalisation des frappes, capture d’écran, transfert de fichiers, détournement de cryptomonnaies, collecte d’informations système (incluant la localisation IP).
• Techniques de Contournement (NightshadeC2) : Bombardement de requêtes UAC pour contourner les sandboxes et Windows Defender.

Vulnérabilités (non spécifiées par CVE dans l’article) :

L’article ne détaille pas de vulnérabilités spécifiques avec des identifiants CVE. Les menaces exploitent des techniques d’ingénierie sociale, des failles dans la détection des malwares et des faiblesses dans les configurations de sécurité (comme l’utilisation de prompts UAC et la gestion de Windows Defender).

Recommandations :

Bien que l’article ne fournisse pas de recommandations directes sous forme de liste, il implique plusieurs bonnes pratiques :

• Vigilance accrue face au phishing : Être prudent avec les liens et les téléchargements provenant de sources non vérifiées ou suspectes.
• Authentification forte et gestion des accès : Pour se protéger contre l’accès non autorisé.
• Mises à jour régulières : Maintenir les systèmes d’exploitation et les logiciels à jour pour corriger les vulnérabilités connues.
• Solutions de sécurité robustes : Utiliser et configurer correctement les antivirus, pare-feux et autres outils de sécurité.
• Formation des utilisateurs : Sensibiliser aux risques de sécurité et aux tactiques des attaquants.
• Surveillance du réseau : Identifier et réagir aux activités suspectes.

Source