Benvenuto su Hacking News Live 24h, la fonte in tempo reale per tutte le news di hacking, cybercrime e cybersecurity.
Aggiorniamo costantemente le notizie 24 ore su 24 con report tecnici, indagini digitali e analisi sugli attacchi più recenti.
Sono stati osservati quattro distinti cluster di attività di minaccia che sfruttano un caricatore di malware noto come CastleLoader, rafforzando la precedente valutazione secondo cui lo strumento viene offerto ad altri autori di minacce nell'ambito di un modello malware-as-a-service (MaaS).
L'autore della minaccia dietro CastleLoader ha ricevuto il nome GrayBravo dall'Insikt Group di Recorded Future, che in precedenza lo aveva identificato come TAG-150. Il malware è emerso per la prima volta all'inizio del 2025.
GrayBravo è "caratterizzata da rapidi cicli di sviluppo, sofisticatezza tecnica, reattività alle segnalazioni pubbliche e un'infrastruttura ampia e in continua evoluzione", ha affermato la società di proprietà di Mastercard in un'analisi pubblicata oggi.
Tra gli strumenti più importanti nel set di strumenti dell'autore della minaccia figurano un trojan di accesso remoto denominato CastleRAT e un framework malware denominato CastleBot, che comprende tre componenti: uno shellcode stager/downloader, un loader e una backdoor principale.
Il loader CastleBot è responsabile dell'iniezione del modulo core, che è in grado di contattare il suo server di comando e controllo (C2) per recuperare le attività che gli consentono di scaricare ed eseguire payload DLL, EXE e PE (eseguibili portatili). Alcune delle famiglie di malware distribuite tramite questo framework sono DeerStealer, RedLine Stealer, StealC Stealer, NetSupport RAT, SectopRAT, MonsterV2, WARMCOOKIE e persino altri loader come Hijack Loader.
L'ultima analisi di Recorded Future ha scoperto quattro gruppi di attività, ognuno dei quali opera con tattiche distinte:
È stato scoperto che GrayBravo sfrutta un'infrastruttura multilivello per supportare le sue operazioni. Questa include server C2 di Livello 1, a diretto contatto con le vittime, associati a famiglie di malware come CastleLoader, CastleRAT, SectopRAT e WARMCOOKIE, nonché diversi server VPS che probabilmente fungono da backup.
Gli attacchi sferrati da TAG-160 sono degni di nota anche per l'utilizzo di account fraudolenti o compromessi, creati su piattaforme di abbinamento merci come DAT Freight & Analytics e Loadlink Technologies, per rafforzare la credibilità delle sue campagne di phishing. L'attività, ha aggiunto Recorded Future, dimostra una profonda conoscenza delle operazioni del settore, che si è travestita da aziende di logistica legittime, sfruttando piattaforme di abbinamento merci e replicando comunicazioni autentiche per aumentare l'inganno e l'impatto.
Si è valutato con scarsa certezza che l'attività potrebbe essere correlata a un altro cluster non attribuito che ha preso di mira le aziende di trasporto e logistica nel Nord America lo scorso anno per distribuire varie famiglie di malware.
"GrayBravo ha ampliato significativamente la sua base di utenti, come dimostra il crescente numero di autori di minacce e cluster operativi che sfruttano il suo malware CastleLoader", ha affermato Recorded Future. "Questa tendenza evidenzia come strumenti tecnicamente avanzati e adattivi, in particolare quelli di un autore di minacce con la reputazione di GrayBravo, possano proliferare rapidamente all'interno dell'ecosistema della criminalità informatica una volta dimostrata la loro efficacia".
Lo sviluppo avviene mentre Blackpoint descrive in dettaglio una catena di attacchi basata su Python dropper che utilizza tecniche ClickFix per distribuire CastleLoader, discostandosi dalle campagne precedenti che utilizzavano un archivio ZIP contenente script AutoIt.
"In questo caso, il comando ClickFix ha scaricato un piccolo archivio e ne ha memorizzato il contenuto nella directory AppData dell'utente prima di richiamare una copia in bundle di pythonw.exe per eseguire uno dei file estratti", ha affermato il ricercatore di sicurezza Sam Decker. "Quello script fungeva da semplice Python stager il cui unico compito era ricostruire ed eseguire un payload CastleLoader."
In una dichiarazione condivisa con The Hacker News, Recorded Future ha affermato che la campagna delineata da Blackpoint corrisponde al cluster TAG-160 "sempre più attivo". "Gli autori sembrano essere altamente mirati, possiedono una conoscenza approfondita del settore, falsificano email legittime relative alla logistica e sfruttano piattaforme di abbinamento merci per raggiungere i loro obiettivi", ha affermato.
(La storia è stata aggiornata dopo la pubblicazione per includere una risposta di Recorded Future.)
Seguici anche su:
- 📖 eBook Italiano
- 🌎 eBook English version
- 🎥 YouTube