Quatro grupos distintos de atividade maliciosa foram identificados utilizando o loader de malware CastleLoader, o que reforça a avaliação anterior de que essa ferramenta é oferecida a outros atores maliciosos, seguindo o modelo malware-as-a-service (MaaS).
O grupo responsável pelo CastleLoader foi batizado de GrayBravo pelo Insikt Group, da Recorded Future, que o acompanhava anteriormente sob a designação TAG-150.
Segundo a empresa, pertencente à Mastercard, GrayBravo se destaca por ciclos rápidos de desenvolvimento, alto grau técnico, resposta ágil a denúncias públicas e uma infraestrutura ampla e em constante evolução.
Entre as ferramentas mais relevantes no arsenal do grupo estão o trojan de acesso remoto CastleRAT e a framework de malware CastleBot.
Esta última é composta por três módulos: um stager/downloader de shellcode, um loader e um backdoor central.
O CastleBot loader injeta o módulo principal, que se comunica com seu servidor de comando e controle (C2) para receber tarefas, permitindo o download e a execução de payloads em DLL, EXE e PE (Portable Executable).
Algumas famílias de malware distribuídas por esse framework incluem DeerStealer, RedLine Stealer, StealC Stealer, NetSupport RAT, SectopRAT, MonsterV2, WARMCOOKIE e até outros loaders, como o Hijack Loader.
A análise mais recente da Recorded Future identificou quatro clusters operando com táticas distintas:
- Cluster 1 (TAG-160): atua no setor logístico usando phishing e técnicas ClickFix para distribuir o CastleLoader.
Está ativo desde pelo menos março de 2025.
- Cluster 2 (TAG-161): utiliza campanhas ClickFix com temática da Booking.com para disseminar CastleLoader e Matanbuchus 3.0.
Opera desde junho de 2025.
- Cluster 3: opera infraestrutura que imita a Booking.com, combinada com páginas do Steam Community como dead drop resolver, para entregar o CastleRAT via CastleLoader.
Está ativo desde março de 2025.
- Cluster 4: faz uso de malvertising e falsos alertas de atualização de software, se passando por ferramentas como Zabbix e RVTools, para distribuir CastleLoader e NetSupport RAT.
Opera desde abril de 2025.
GrayBravo utiliza uma infraestrutura multinível para sustentar suas operações, incluindo servidores C2 diretamente acessíveis às vítimas, associados a malwares como CastleLoader, CastleRAT, SectopRAT e WARMCOOKIE.
Também emprega diversos servidores VPS que provavelmente funcionam como backups.
As campanhas do TAG-160 se destacam por utilizarem contas fraudulentas ou comprometidas em plataformas de matchmaking de frete, como DAT Freight & Analytics e Loadlink Technologies, aumentando a credibilidade dos ataques de phishing.
Essa atividade demonstra profundo conhecimento das operações do setor, já que o grupo imita empresas legítimas de logística, explora plataformas de frete e replica comunicações autênticas para ampliar seu impacto e capacidade de engano.
Com baixa confiança, há indicações de que esse grupo pode estar ligado a outro cluster não atribuído que, no ano passado, atacou empresas de transporte e logística na América do Norte, distribuindo diversas famílias de malware.
Segundo a Recorded Future, “GrayBravo ampliou significativamente sua base de usuários, comprovado pelo aumento no número de atores de ameaça e clusters operacionais que utilizam o malware CastleLoader.
Essa tendência evidencia como ferramentas tecnicamente avançadas e adaptáveis, especialmente vindas de um ator com a reputação de GrayBravo, podem se espalhar rapidamente no ecossistema do crime cibernético após demonstrarem eficácia”.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...