Er zijn vier verschillende clusters van bedreigingsactiviteiten waargenomen die gebruik maken van een malware-lader die bekend staat als KasteelLoaderDit versterkt de eerdere inschatting dat de tool aan andere bedreigingsactoren wordt aangeboden onder een Malware-as-a-Service (MaaS)-model.
De bedreigingsacteur achter CastleLoader heeft de naam GrayBravo gekregen van de Insikt Group van Recorded Future, die hem voorheen volgde als TAG-150.
GrayBravo wordt “gekenmerkt door snelle ontwikkelingscycli, technische verfijning, reactievermogen op openbare rapportage en een uitgebreide, evoluerende infrastructuur”, aldus het bedrijf dat eigendom is van Mastercard in een vandaag gepubliceerde analyse.
Enkele van de opmerkelijke tools in de toolset van de bedreigingsactor zijn onder meer een trojan voor externe toegang genaamd CastleRAT en een malwareframework genaamd CastleBot, dat uit drie componenten bestaat: een shellcode stager/downloader, een lader en een core backdoor.
De CastleBot-lader is verantwoordelijk voor het injecteren van de kernmodule, die is uitgerust om contact te maken met de command-and-control (C2)-server om taken op te halen waarmee deze DLL-, EXE- en PE-payloads (portable executable) kan downloaden en uitvoeren. Enkele van de malwarefamilies die via dit raamwerk worden verspreid zijn DeerStealer, RedLine Stealer, StealC Stealer, NetSupport RAT, SectopRAT, MonsterV2, WARMCOOKIE en zelfs andere laders zoals Hijack Loader.
De nieuwste analyse van Recorded Future heeft vier clusters van activiteiten blootgelegd, die elk met verschillende tactieken opereren:
- Cluster 1 (TAG-160)dat zich richt op de logistieke sector met behulp van phishing- en ClickFix-technieken om CastleLoader te verspreiden (actief sinds minstens maart 2025)
- Cluster 2 (TAG-161)dat ClickFix-campagnes met een Booking.com-thema gebruikt om CastleLoader en Matanbuchus 3.0 te distribueren (actief sinds ten minste juni 2025)
- Cluster 3dat infrastructuur gebruikt die de identiteit van Booking.com nabootst in combinatie met ClickFix- en Steam Community-pagina’s als dead drop-resolver om CastleRAT via CastleLoader te leveren (actief sinds minstens maart 2025)
- Cluster 4dat gebruik maakt van malvertising en valse software-updates, vermomd als Zabbix en RVTools, om CastleLoader en NetSupport RAT te distribueren (actief sinds minstens april 2025)
GrayBravo blijkt gebruik te maken van een meerlaagse infrastructuur om zijn activiteiten te ondersteunen. Dit omvat Tier 1-slachtoffergerichte C2-servers die verband houden met malwarefamilies zoals CastleLoader, CastleRAT, SectopRAT en WARMCOOKIE, evenals meerdere VPS-servers die waarschijnlijk als back-ups werken.
De aanvallen van TAG-160 vallen ook op door het gebruik van frauduleuze of gecompromitteerde accounts die zijn aangemaakt op vrachtmatchplatforms zoals DAT Freight & Analytics en Loadlink Technologies om de geloofwaardigheid van zijn phishing-campagnes te vergroten. De activiteit, aldus Recorded Future, illustreert een diep begrip van de activiteiten in de sector, waarbij legitieme logistieke bedrijven worden nagebootst, platforms voor vrachtmatching worden geëxploiteerd en authentieke communicatie wordt gespiegeld om de misleiding en impact ervan te vergroten.
Er is met weinig vertrouwen vastgesteld dat de activiteit verband kan houden met een ander niet-toegeschreven cluster dat zich vorig jaar op transport- en logistieke bedrijven in Noord-Amerika richtte om verschillende malwarefamilies te verspreiden.
“GrayBravo heeft zijn gebruikersbestand aanzienlijk uitgebreid, wat blijkt uit het groeiende aantal bedreigingsactoren en operationele clusters die gebruik maken van de CastleLoader-malware”, aldus Recorded Future. “Deze trend benadrukt hoe technisch geavanceerde en adaptieve tools, vooral van een bedreigingsacteur met de reputatie van GrayBravo, zich snel kunnen verspreiden binnen het cybercriminele ecosysteem zodra ze effectief zijn gebleken.”
