四个威胁集群使用CastleLoader，GrayBravo扩展其恶意软件服务基础设施

已观察到四个不同的威胁活动集群正在利用一种名为CastleLoader的恶意软件加载程序，这强化了先前的评估，即该工具是以恶意软件即服务模式提供给其他威胁行为者的。

CastleLoader背后的威胁行为者已被Recorded Future的Insikt Group命名为GrayBravo，该组织先前将其追踪为TAG-150。

这家万事达卡旗下的公司在今天发布的分析报告中表示，GrayBravo的特点是“快速的开发周期、技术复杂性、对公开报告的响应能力以及广泛且不断发展的基础设施”。

网络安全
该威胁行为者工具集中的一些显著工具包括一个名为CastleRAT的远程访问木马和一个被称为CastleBot的恶意软件框架，该框架包含三个组件：一个shellcode加载器/下载器、一个加载器和一个核心后门。

CastleBot加载器负责注入核心模块，该模块能够联系其命令与控制服务器以检索任务，使其能够下载并执行DLL、EXE和PE（可移植可执行文件）有效载荷。通过此框架分发的部分恶意软件家族包括DeerStealer、RedLine Stealer、StealC Stealer、NetSupport RAT、SectopRAT、MonsterV2、WARMCOOKIE，甚至包括Hijack Loader等其他加载程序。

Recorded Future的最新分析揭示了四个活动集群，每个集群采用不同的策略运作——

• 集群1：使用网络钓鱼和ClickFix技术分发CastleLoader，以物流行业为目标（自2025年3月起活跃，被追踪为TAG-160）。
• 集群2：使用Booking.com主题的ClickFix攻击活动分发CastleLoader和Matanbuchus 3.0（自2025年6月起活跃，被追踪为TAG-161）。
• 集群3：使用冒充Booking.com的基础设施，结合ClickFix和Steam Community页面作为秘密情报点来通过CastleLoader分发CastleRAT（自2025年3月起活跃）。
• 集群4：使用恶意广告和伪装成Zabbix与RVTools的虚假软件更新诱饵来分发CastleLoader和NetSupport RAT（自2025年4月起活跃）。

TAG-160发起的攻击也因使用在DAT Freight & Analytics和Loadlink Technologies等货运匹配平台上创建欺诈或已泄露的账户来增强其网络钓鱼活动的可信度而引人注目。Recorded Future补充道，此活动说明其对行业运营有深刻理解，包括冒充合法物流公司、利用货运匹配平台以及模仿真实通信以增强其欺骗性和影响力。

目前评估认为（置信度较低），此活动可能与去年针对北美运输和物流公司分发各种恶意软件家族的另一个未归因集群有关。

Recorded Future表示：“GrayBravo已显著扩大了其用户群，越来越多利用其CastleLoader恶意软件的威胁行为者和运营集群就是明证。这一趋势凸显出，技术上先进且适应性强的工具，特别是来自像GrayBravo这样具有声誉的威胁行为者，一旦被证明有效，如何在网络犯罪生态系统中迅速扩散。”