Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Four Threat Clusters Using CastleLoader as GrayBravo Expands Its Malware Service Infrastructure

3 minute de lecture

Mis à jour :

GrayBravo : Le Loader CastleLoader au Service d’une Infrastructure Évolutive

Le groupe de menace GrayBravo, précédemment identifié sous le nom de TAG-150, a développé une infrastructure de services de logiciels malveillants en pleine expansion, centrée sur son chargeur “CastleLoader”. Cette plateforme, proposée sous un modèle de malware-as-a-service (MaaS), est exploitée par quatre groupes d’acteurs de menace distincts, chacun adoptant des tactiques variées.

Parmi les outils notables de GrayBravo figurent le cheval de Troie d’accès à distance CastleRAT et le framework de malware CastleBot, composé d’un stager/downloader de shellcode, d’un chargeur et d’un backdoor principal. Ce dernier est capable de télécharger et d’exécuter divers payloads (DLL, EXE, PE) après avoir contacté son serveur de commande et contrôle (C2). Le chargeur CastleBot est également utilisé pour déployer une variété de familles de logiciels malveillants telles que DeerStealer, RedLine Stealer, StealC Stealer, NetSupport RAT, SectopRAT, MonsterV2, WARMCOOKIE, et même d’autres chargeurs comme Hijack Loader.

Les quatre clusters d’activité observés exploitant CastleLoader sont :

  • Cluster 1 (TAG-160) : Cible le secteur de la logistique via des techniques de phishing et ClickFix, actif depuis au moins mars 2025. Utilise des comptes frauduleux sur des plateformes de fret pour renforcer la crédibilité des campagnes.
  • Cluster 2 (TAG-161) : Emploie des campagnes ClickFix sur le thème de Booking.com pour distribuer CastleLoader et Matanbuchus 3.0, actif depuis au moins juin 2025.
  • Cluster 3 : Utilise une infrastructure imitant Booking.com, combinée à ClickFix et des pages Steam Community comme résolveurs pour livrer CastleRAT via CastleLoader, actif depuis au moins mars 2025.
  • Cluster 4 : Recourt au malvertising et à de fausses mises à jour logicielles (se faisant passer pour Zabbix et RVTools) pour distribuer CastleLoader et NetSupport RAT, actif depuis au moins avril 2025.

GrayBravo utilise une infrastructure multi-niveaux pour ses opérations, incluant des serveurs C2 de premier niveau (Tier 1) liés à CastleLoader, CastleRAT, SectopRAT et WARMCOOKIE, ainsi que des serveurs VPS redondants. La capacité de GrayBravo à faire évoluer rapidement ses outils et à les proposer à un large éventail d’acteurs de menace souligne la prolifération rapide de solutions techniques avancées dans l’écosystème cybercriminel.

Points Clés :

  • Le groupe de menace GrayBravo offre le chargeur de malware CastleLoader via un modèle MaaS.
  • Quatre clusters d’activité distincts exploitent CastleLoader, ciblant divers secteurs comme la logistique et le tourisme.
  • CastleLoader est utilisé pour distribuer une variété de malwares, incluant des stealer, des RAT et d’autres chargeurs.
  • GrayBravo fait preuve de cycles de développement rapides et d’une infrastructure évolutive.
  • L’acteur de menace montre une compréhension approfondie des opérations industrielles pour leurs campagnes de phishing.

Vulnérabilités :

Aucune vulnérabilité spécifique (avec CVE) n’est mentionnée dans l’article. L’exploitation repose sur des techniques d’ingénierie sociale (phishing, malvertising) et la capacité du malware à s’injecter et à communiquer avec des serveurs C2.

Recommandations :

Bien qu’aucune recommandation directe ne soit formulée dans l’article, les observations suggèrent des mesures générales de cybersécurité :

  • Sensibilisation accrue aux tactiques de phishing et de malvertising : Vigilance face aux emails suspects, aux liens malveillants et aux fausses mises à jour logicielles.
  • Sécurisation des endpoints : Utilisation de solutions antivirus et de détection d’intrusion robustes.
  • Gestion des comptes : Utilisation d’authentification forte et surveillance des comptes, notamment sur les plateformes professionnelles.
  • Mises à jour régulières : Assurer la mise à jour des logiciels et des systèmes pour corriger les failles de sécurité connues.
  • Surveillance du trafic réseau : Détection des communications suspectes avec des serveurs C2.

Source

Vous pourriez aimer