CastleLoader Malware

Sa patuloy na umuusbong na tanawin ng mga banta sa cyber, isang bagong malware loader na tinawag na CastleLoader ang lumitaw bilang isang makabuluhang tool sa mga arsenal ng mga cybercriminal. Unang natukoy noong unang bahagi ng 2025, ang CastleLoader ay mabilis na nakakuha ng traksyon dahil sa modularity nito, mga advanced na taktika sa pag-iwas, at kakayahang umangkop. Naobserbahan ng mga mananaliksik ang papel nito sa maraming campaign na naglalagay ng mga nagnanakaw ng impormasyon at Remote Access Trojans (RATs), na ginagawa itong lumalaking alalahanin sa malware-as-a-service (MaaS) ecosystem.

Versatility in Action: Isang Napakahusay na Tool sa Pamamahagi

Ginamit ang CastleLoader upang maghatid ng malawak na hanay ng mga nakakahamak na payload, kabilang ang:

• Mga magnanakaw ng impormasyon: DeerStealer, RedLine, StealC
• Remote Access Trojans (RATs): NetSupport RAT, SectopRAT

Ang modular na istraktura nito ay nagbibigay-daan sa CastleLoader na magsilbi bilang parehong paunang dropper at pangalawang yugto na loader, na nagbibigay-daan sa mga umaatake na ihiwalay ang vector ng impeksyon mula sa payload. Ang paghihiwalay na ito ay nagpapalubha sa mga pagsusumikap sa pagtuklas at pagtugon, na ginagawang mas mahirap ang pagpapatungkol.

Obfuscation at Pag-iwas: Pananatiling Isang Hakbang

Gumagamit ang CastleLoader ng ilang advanced na diskarte upang maiwasan ang pag-detect at hadlangan ang pagsusuri:

• Dead code injection at packing para ikubli ang tunay na functionality nito.
• Runtime unpacking upang maantala ang pagpapatupad hanggang matapos ang pag-iwas sa mga paunang layer ng pag-scan.
• Mga hakbang sa anti-sandboxing at obfuscation, na maihahambing sa mga sopistikadong loader tulad ng SmokeLoader at IceID.

Kapag na-unpack, ang loader ay umaabot sa Command-and-Control (C2) server nito, magda-download ng mga karagdagang module, at magsisimula ng kanilang pagpapatupad. Ang mga payload ay karaniwang inihahatid bilang mga portable executable na naka-embed sa shellcode, na naglulunsad ng mga pangunahing gawain ng loader.

Mga Taktika at Teknik: Panlilinlang sa Ubod Nito

Ang mga kampanyang gumagamit ng CastleLoader ay lubos na umaasa sa social engineering, partikular na:

Mga Pag-atake sa Phishing na May Temang ClickFix
Ang mga biktima ay naaakit sa mga nakakahamak na domain, na nagpapanggap bilang mga platform ng videoconferencing, mga update sa browser, mga library ng developer, o mga portal ng pag-verify ng dokumento, sa pamamagitan ng mga nalason na resulta ng paghahanap sa Google. Naglalaman ang mga page na ito ng mga pekeng mensahe ng error o CAPTCHA prompt na nagtuturo sa mga user na isagawa ang mga PowerShell command, nang hindi sinasadyang simulan ang impeksyon. Ang mga pag-atake ng ClickFix ay naging isang malawakang pamamaraan na pinagtibay ng maraming grupo ng mga hacker.

Mga Pekeng GitHub Repositories
Kumakalat din ang CastleLoader sa pamamagitan ng mga repository na gumagaya sa mga lehitimong open-source na tool. Maaaring magpatakbo ng tila mapagkakatiwalaang mga script sa pag-install ang mga hindi pinaghihinalaang developer mula sa mga repository na ito, na hindi sinasadyang nahawahan ang kanilang mga system. Pinapakinabangan ng taktika na ito ang nakikitang pagiging lehitimo ng GitHub at ang nakagawiang pagtitiwala ng mga developer sa mga bukas na repositoryo.

Ang mga estratehiyang ito ay sumasalamin sa mga diskarteng karaniwang ginagamit ng Mga Initial Access Broker (IAB), na nagpapatibay sa posisyon ng CastleLoader sa loob ng isang mas malawak na cybercriminal supply chain.

Mga Nagpapatong na Kampanya at Lumalawak na Abot

Naidokumento ng mga mananaliksik ang cross-campaign na paggamit ng CastleLoader at DeerStealer, na binabanggit na ang ilang variant ng Hijack Loader ay naihatid sa pamamagitan ng parehong mga tool. Bagama't maaaring magkaiba ang mga banta sa likod ng bawat campaign, ang magkakapatong na paggamit ng mga loader ay nagpapahiwatig ng isang nakabahaging ecosystem o modelo ng serbisyo sa mga cybercriminal group.

Mula Mayo 2025, naobserbahan ang CastleLoader na gumagamit ng pitong natatanging C2 server, na may naitala na 1,634 na pagtatangka sa impeksyon. Sa mga ito, 469 na device ang matagumpay na nakompromiso, na nagresulta sa rate ng tagumpay ng impeksyon na 28.7%.

Ang Imprastraktura sa Likod ng Banta

Ang imprastraktura ng C2 na sumusuporta sa CastleLoader ay kapansin-pansing matatag. Ang nauugnay na web-based na panel nito ay nagbibigay ng sentralisadong kontrol sa mga nahawaang system, na nag-e-echo ng mga feature na makikita sa malware-as-a-service platform. Tumuturo ito sa isang karanasan at organisadong operasyon sa likod ng pag-unlad at pag-deploy ng loader.

Mga Pangunahing Takeaway: Ang Lumalagong Banta ng CastleLoader

Ang CastleLoader ay hindi lamang isang loader, ito ay isang strategic enabler ng mas malawak na malware campaign.

Ang modular na disenyo nito, mga tampok na anti-analysis, at magkakaibang mga taktika sa paghahatid ay ginagawa itong isang pangunahing tool para sa mga aktor ng pagbabanta na naghahanap ng flexibility at stealth.

Sa pamamagitan ng pag-abuso sa mga pinagkakatiwalaang platform tulad ng GitHub at pagsasamantala sa gawi ng user sa pamamagitan ng social engineering, binibigyang-diin ng CastleLoader ang pangangailangan para sa pinahusay na pagbabantay at mga diskarte sa pagtatanggol sa mga kapaligiran ng enterprise at developer.

Habang patuloy na umuunlad ang banta na ito, dapat manatiling alerto ang mga tagapagtanggol sa mga bagong taktika at palakasin ang mga depensa laban sa mga loader na nagpapatakbo sa likod ng mga eksena upang palakasin ang malakihang cybercrime.