رصد باحثون في الأمن السيبراني أربع مجموعات تهديد مختلفة تستخدم أداة التحميل الخبيثة CastleLoader، ما يعزز التقييم السابق بأن الأداة تُقدَّم وفق نموذج البرمجيات الخبيثة كخدمة (MaaS). وتعود ملكية CastleLoader إلى جهة تهديد تُعرف باسم GrayBravo، والتي كانت تُتابَع سابقًا تحت الاسم TAG‑150، وظهرت لأول مرة في أوائل عام 2025.
وتصف Recorded Future GrayBravo بأنها جهة تتميز بـ سرعة التطوير، والتعقيد التقني، والاستجابة السريعة للتقارير العامة، وبنية تحتية واسعة ومتجددة. ويعتمد نشاطها على مجموعة أدوات تشمل CastleRAT، إضافة إلى إطار برمجي متكامل يُعرف باسم CastleBot، الذي يتكون من مُحمّل shellcode، ومُحمّل رئيسي، وBackdoor أساسي.
CastleBot: منصة متكاملة لنشر برمجيات متعددة
يتولى مُحمّل CastleBot حقن الوحدة الأساسية التي تتصل بخادم التحكم والسيطرة (C2) لتنفيذ مهام تشمل تنزيل وتشغيل حمولات DLL وEXE وPE. وقد استُخدمت هذه المنصة في نشر عائلات برمجيات واسعة، منها: DeerStealer، RedLine Stealer، StealC، NetSupport RAT، SectopRAT، MonsterV2، WARMCOOKIE، وحتى مُحمّلات أخرى مثل Hijack Loader.
أربع مجموعات تهديد تستخدم CastleLoader
كشف تحليل Recorded Future عن أربع مجموعات نشاط تعمل بتكتيكات مختلفة:
- المجموعة 1 (TAG‑160) تستهدف قطاع اللوجستيات عبر حملات تصيّد وتقنية ClickFix لنشر CastleLoader (نشطة منذ مارس 2025)
- المجموعة 2 (TAG‑161) تستخدم حملات ClickFix مموّهة بشعار Booking.com لنشر CastleLoader وMatanbuchus 3.0 (نشطة منذ يونيو 2025)
- المجموعة 3 تعتمد على بنية تحتية تنتحل Booking.com مع ClickFix وصفحات Steam Community كـ dead drop لتوزيع CastleRAT عبر CastleLoader (نشطة منذ مارس 2025)
- المجموعة 4 تستخدم الإعلانات الخبيثة وتحديثات برامج مزيفة تتظاهر بأنها Zabbix وRVTools لنشر CastleLoader وNetSupport RAT (نشطة منذ أبريل 2025)
بنية تحتية متعددة الطبقات ودعم لوجستي للهجمات
تعتمد GrayBravo على بنية متعددة المستويات تشمل خوادم C2 موجهة للضحايا، إضافة إلى خوادم VPS تعمل كنسخ احتياطية. وتتميز هجمات TAG‑160 باستخدام حسابات مزيفة أو مخترقة على منصات مطابقة الشحن مثل DAT Freight & Analytics وLoadlink Technologies لتعزيز مصداقية رسائل التصيّد، ما يعكس فهمًا عميقًا لعمليات قطاع اللوجستيات.
وتشير التقييمات إلى احتمال ارتباط منخفض بين هذه الأنشطة ومجموعة غير منسوبة استهدفت شركات النقل في أمريكا الشمالية العام الماضي.
انتشار متسارع داخل منظومة الجريمة السيبرانية
تؤكد Recorded Future أن GrayBravo وسّعت قاعدة مستخدمي CastleLoader بشكل كبير، مع تزايد عدد الجهات التي تعتمد عليه. ويبرز هذا الاتجاه كيف يمكن لأدوات متقدمة ومرنة أن تنتشر بسرعة داخل بيئة الجريمة الإلكترونية بمجرد إثبات فعاليتها.
تطور جديد: سلسلة هجوم تعتمد على Python Dropper
كشفت Blackpoint عن سلسلة هجوم جديدة تعتمد على Python Dropper لنشر CastleLoader باستخدام تقنية ClickFix، بدلًا من الحملات السابقة التي استخدمت أرشيفات ZIP تحتوي على سكربتات AutoIt.
في هذا السيناريو، يقوم أمر ClickFix بتنزيل أرشيف صغير إلى مجلد AppData، ثم تشغيل نسخة مرفقة من pythonw.exe لتنفيذ سكربت بسيط يعيد بناء حمولة CastleLoader وتشغيلها.
وأكدت Recorded Future أن هذه الحملة تتوافق مع نشاط مجموعة TAG‑160، التي تُظهر استهدافًا عالي الدقة، ومعرفة واسعة بالمجال اللوجستي، وانتحالًا لرسائل بريدية شرعية، واستغلالًا لمنصات مطابقة الشحن للوصول إلى الضحايا.
