یک گروه تهدید سایبری با نام TAG-150 که پیشتر بدافزار-بهعنوان-سرویس (MaaS) و لودر معروف به CastleLoader (یا CastleBot) را عرضه کرده بود، حالا یک تروجان دسترسی از راه دور (RAT) جدید به نام CastleRAT توسعه داده است.
⚙️ قابلیتهای CastleRAT
طبق گزارش گروه Insikt از Recorded Future، این RAT در دو نسخه Python و C منتشر شده و قابلیتهای اصلی آن شامل موارد زیر است:
جمعآوری اطلاعات سیستم قربانی 🖥️
دانلود و اجرای بارهای مخرب بعدی 📥
اجرای دستورات از طریق CMD و PowerShell ⚡
نسخه C امکانات بیشتری دارد، از جمله:
ثبت کلیدهای فشردهشده (Keylogging)
گرفتن اسکرینشاتها
آپلود و دانلود فایلها
Crypto Clipper برای جایگزینی آدرسهای کیفپول رمزارز در کلیپبورد و سرقت تراکنشها 💰
🕵️ روش توزیع و آلودهسازی CastleRAT
آغاز آلودگیها معمولاً از طریق حملات فیشینگ ClickFix با قالب Cloudflare یا مخازن جعلی GitHub است که شبیه نرمافزارهای معتبر طراحی شدهاند.
CastleLoader تاکنون برای توزیع بدافزارهایی مثل DeerStealer, RedLine, StealC, NetSupport RAT, SectopRAT و Hijack Loader استفاده شده است.
تحقیقات اخیر IBM X-Force هم نشان داده CastleLoader با SEO Poisoning و مخازن جعلی GitHub بدافزارهایی مثل MonsterV2 و WARMCOOKIE را هم توزیع کرده است.
🛠️ زیرساخت چندلایه TAG-150
شواهد نشان میدهد که گروه TAG-150 از مارس ۲۰۲۵ روی CastleRAT کار کرده و از یک زیرساخت چندلایه استفاده میکند:
Tier 1: سرورهای فرماندهی (C2) برای ارتباط مستقیم با قربانی
Tier 2 و Tier 3: عمدتاً سرورهای VPS
Tier 4: سرورهای پشتیبان
همچنین CastleRAT از پروفایلهای Steam Community بهعنوان dead drop resolver استفاده میکند تا به سرور اصلی C2 متصل شود (مثل دامنه programsbookss[.]com).
🧪 تکنیکهای پیشرفته برای دور زدن امنیت
تحقیقات eSentire (که CastleRAT را با نام NightshadeC2 دنبال میکند) نشان داده این بدافزار از یک لودر .NET استفاده میکند که برای دور زدن امنیت از تکنیکهایی مثل:
UAC Prompt Bombing (بمباران اعلان دسترسی)
افزودن استثنا به Windows Defender با اجرای مداوم دستور PowerShell
گیر انداختن Sandboxهای تحلیل بدافزار در یک حلقه اجرای بیپایان
این رویکرد باعث میشود بدافزار بتواند سیستمهایی که WinDefend غیرفعال دارند را فریب داده و تحلیل امنیتی را مختل کند.
📈 هدف TAG-150 و اکوسیستم Castle
هیچ تبلیغی از CastleRAT یا CastleLoader در دارکوب دیده نشده و احتمالاً در یک شبکه محدود همکاران توزیع میشود.
توسعه CastleRAT نشان میدهد اپراتورها بهدنبال ساخت یک اکوسیستم کامل بدافزاری هستند تا بتوانند خدمات خود را گرانتر بفروشند و سریعتر عملیات خود را ارتقا دهند.
🧩 بدافزارهای مرتبط و خانوادههای جدید
در کنار CastleRAT، پژوهشها بدافزارهای دیگری را هم گزارش کردهاند:
TinyLoader: لودری که RedLine Stealer و DCRat را منتشر میکند. این بدافزار از طریق فلش USB، اشتراکگذاری شبکه و شورتکاتهای جعلی پخش میشود.
TinkyWinkey: کیلاگر ویندوزی با قابلیت مخفیکاری بالا، هوک سطح پایین صفحهکلید و پروفایل کامل سیستم.
Inf0s3c Stealer: سرقتکننده اطلاعات بر پایه Python که جزئیات سیستم، اسکرینشاتها و پردازشهای در حال اجرا را جمعآوری میکند. شباهتهایی با Blank Grabber و Umbral-Stealer دارد و احتمالاً توسط یک نویسنده مشترک ساخته شده است.
🔑 جمعبندی
ظهور CastleRAT در کنار CastleLoader نشاندهنده حرکت TAG-150 به سمت ساخت یک زنجیره کامل ابزارهای بدافزاری است؛ از لودرها گرفته تا RAT و سرقتکنندههای اطلاعات. این روند تهدید بزرگی برای کاربران سازمانی و خانگی به شمار میرود و نشان میدهد مهاجمان در حال حرفهایتر کردن عملیات خود هستند.
