Il gruppo di cybercriminali noto come TAG-150 è tornato alla ribalta nel panorama della sicurezza informatica grazie allo sviluppo di due strumenti particolarmente insidiosi: CastleLoader e CastleRAT. CastleLoader, attivo almeno dal marzo 2025, viene utilizzato come malware-as-a-service (MaaS) e loader per facilitare l'accesso iniziale a una vasta gamma di payload dannosi, tra cui trojan di accesso remoto, info-stealer e altri loader. Le campagne legate a CastleLoader sfruttano principalmente attacchi di phishing, in particolare tramite la tecnica ClickFix, e repository GitHub falsi che si spacciano per software legittimo, compromettendo così le vittime con estrema efficacia.
CastleRAT: evoluzione e funzionalità avanzate
CastleRAT rappresenta la più recente evoluzione di questa infrastruttura malevola. Disponibile sia in versione Python che C, CastleRAT consente agli attaccanti di raccogliere informazioni di sistema, scaricare ed eseguire ulteriori payload, eseguire comandi tramite CMD e PowerShell e stabilire una shell remota. La variante in C, più avanzata, integra anche funzionalità di keylogging, cattura schermate, upload e download di file, oltre a operare come crypto-clipper, sostituendo in modo furtivo gli indirizzi dei wallet di criptovaluta per dirottare le transazioni verso conti controllati dagli attaccanti.
Infrastruttura complessa e tecniche di evasione
TAG-150 si avvale di una complessa infrastruttura a più livelli, con server di comando e controllo suddivisi tra VPS e server di backup, e utilizza anche profili della community di Steam come dead drop resolver per nascondere gli indirizzi dei server C2. CastleRAT, inoltre, può autodistruggersi per eliminare tracce dell’infezione.
Un altro aspetto rilevante è l’utilizzo di tecniche di evasione, come il loop PowerShell per inserire esclusioni in Windows Defender, forzando l’utente ad approvare i prompt UAC e intrappolando le sandbox di analisi malware in cicli infiniti. Queste strategie avanzate rendono CastleRAT e CastleLoader difficili da rilevare e neutralizzare anche per i sistemi di sicurezza più sofisticati.
Nuove minacce emergenti
Parallelamente, emergono nuove minacce come TinyLoader, che distribuisce malware come Redline Stealer e DCRat tramite USB, condivisione di rete e shortcut malevoli, e nuovi stealer come Inf0s3c Stealer e TinkyWinkey, in grado di raccogliere credenziali, informazioni di sistema e input da tastiera, contribuendo all’evoluzione continua delle minacce informatiche.