マルウェア・アズ・ア・サービス(MaaS)フレームワークおよびローダー「CastleLoader」の背後にいる脅威アクターは、CastleRATとして知られるリモートアクセス型トロイの木馬も開発しています。
「Python版とC版の両方が存在し、CastleRATの主な機能はシステム情報の収集、追加ペイロードのダウンロードと実行、CMDやPowerShellを介したコマンド実行です」とRecorded Future Insikt Groupは述べています。
サイバーセキュリティ企業は、これらのマルウェアファミリーの背後にいる脅威アクターをTAG-150として追跡しています。少なくとも2025年3月から活動していると考えられており、CastleLoaderなどはリモートアクセス型トロイの木馬、情報窃取型マルウェア、さらには他のローダーなど、幅広い二次ペイロードの初期アクセス手段とみなされています。
CastleLoaderは、スイスのサイバーセキュリティ企業PRODAFTによって2025年7月に初めて記録され、DeerStealer、RedLine、StealC、NetSupport RAT、SectopRAT、Hijack Loaderなどを配布するさまざまなキャンペーンで使用されていることが判明しました。
その後、IBM X-Forceによる先月の分析では、マルウェアがSEOポイズニングや正規ソフトウェアを装ったGitHubリポジトリを通じて、MonsterV2やWARMCOOKIEの媒介にもなっていることが判明しました。
「感染は主にCloudflareを装った『ClickFix』フィッシング攻撃や、正規アプリケーションを装った偽のGitHubリポジトリを通じて開始されます」とRecorded Futureは述べています。
「オペレーターは、ソフトウェア開発ライブラリ、オンライン会議プラットフォーム、ブラウザのアップデート警告、ドキュメント認証システムを模倣したドメインを利用し、ClickFix手法を活用しています。」
証拠によれば、TAG-150は2025年3月からCastleRATの開発に取り組んでおり、被害者向けのTier 1コマンド&コントロール(C2)サーバー、主に仮想プライベートサーバー(VPS)で構成されるTier 2およびTier 3サーバー、そしてTier 4のバックアップサーバーからなる多層インフラを活用しています。
TAG-150の新たな武器として発見されたCastleRATは、次段階のペイロードをダウンロードしたり、リモートシェル機能を有効化したり、自身を削除することさえ可能です。また、Steam Communityのプロフィールをデッドドロップリゾルバーとして使用し、C2サーバー(「programsbookss[.]com」)をホストしています。
注目すべきは、CastleRATにはC言語で書かれたバージョンと、Pythonで書かれたバージョン(PyNightshadeとも呼ばれる)の2種類が存在することです。なお、eSentireは同じマルウェアをNightshadeC2という名前で追跡しています。
CastleRATのCバージョンはより多くの機能を備えており、キーストロークの記録、スクリーンショットの取得、ファイルのアップロード/ダウンロード、暗号通貨クリッパーとしてクリップボードにコピーされたウォレットアドレスを攻撃者が管理するものに置き換えて取引をリダイレクトすることが可能です。
「Python版と同様に、C版も広く悪用されているIPジオロケーションサービスip-api[.]comに問い合わせ、感染ホストのパブリックIPアドレスに基づく情報を収集します」とRecorded Futureは述べています。「ただし、データの範囲は拡大されており、都市名、郵便番号、IPがVPN、プロキシ、TORノードに関連しているかどうかの指標も含まれます。」
とはいえ、最近のC版CastleRATでは、ip-api[.]comへの都市名と郵便番号の問い合わせが削除されており、開発が継続中であることを示しています。Python版が同等の機能を持つかどうかは今後の動向を見守る必要があります。
eSentireは独自のNightshadeC2分析で、.NETローダーによって展開されるボットネットであり、UACプロンプトボミングなどの手法を用いてセキュリティ対策を回避していると説明しています。カナダのサイバーセキュリティ企業によれば、Chromium系やGecko系ウェブブラウザからパスワードやCookieを抽出する機能を備えた亜種も確認されています。
要するに、このプロセスはPowerShellコマンドをループで実行し、最終ペイロード(NightshadeC2)に対するWindows Defenderの除外設定を追加しようとします。その後、ローダーはPowerShellプロセスの終了コードが0(成功)かどうかを確認します。
除外設定が正常に追加されれば、ローダーはマルウェアの配信を進めます。0以外の終了コードが返された場合はループが繰り返し実行され、ユーザーにユーザーアカウント制御(UAC)プロンプトの承認を強制します。
「この手法で特に注目すべき点は、WinDefend(Windows Defender)サービスが無効化されているシステムでは0以外の終了コードが生成され、マルウェア解析用サンドボックスが実行ループに閉じ込められることです」とeSentireは述べており、この方法が複数のサンドボックスソリューションの回避を可能にしていると付け加えています。
このような開発が進む中、Hunt.ioはRedline StealerやDCRatを配信するために使われているTinyLoaderというコードネームの別のマルウェアローダーについても詳細を明らかにしました。
Windowsレジストリ設定を変更して永続化を確立するだけでなく、このマルウェアはクリップボードを監視し、コピーされた暗号通貨ウォレットアドレスを即座に置き換えます。C2パネルはラトビア、イギリス、オランダにホストされています。
「TinyLoaderはRedline Stealerと暗号通貨窃盗型マルウェアの両方をインストールし、認証情報の収集や取引の乗っ取りを行います」と同社は述べています。「USBドライブ、ネットワーク共有、偽のショートカットを介して拡散し、ユーザーを騙して実行させます。」
また、WindowsベースのキーロガーTinkyWinkeyと、Python製情報窃取型マルウェアInf0s3c Stealerという2つの新しいマルウェアファミリーが発見されており、それぞれキーボード入力の収集や広範なシステム情報の取得が可能です。
Inf0s3c Stealerのさらなる分析により、Blank GrabberやUmbral-Stealerという他の公開マルウェアファミリーと類似点が確認されており、同一の作者によるものの可能性が示唆されています。
「TinkyWinkeyは、高度な機能とステルス性を兼ね備えたWindowsベースのキーロガーであり、永続的なサービス実行、低レベルのキーボードフック、包括的なシステムプロファイリングを組み合わせて機密情報を収集します」とCYFIRMAは述べています。
Inf0s3c Stealerは「ホスト識別子、CPU情報、ネットワーク構成などのシステム詳細を体系的に収集し、スクリーンショットも取得します。実行中のプロセスを列挙し、デスクトップ、ドキュメント、ピクチャ、ダウンロードなどのユーザーディレクトリの階層ビューを生成します。」
翻訳元: https://thehackernews.com/2025/09/tag-150-develops-castlerat-in-python.html