كشف باحثون في الأمن السيبراني أن المجموعة المعروفة باسم TAG-150، والمرتبطة بإطار البرمجيات الخبيثة كخدمة (MaaS) المسمى CastleLoader، قد طورت برمجية وصول عن بُعد جديدة تحمل اسم CastleRAT.
ووفقاً لتحليل مجموعة Insikt التابعة لشركة Recorded Future، فإن CastleRAT متاحة بنسختين؛ الأولى مكتوبة بلغة Python والثانية بلغة C. وتتمثل وظائفها الأساسية في جمع معلومات النظام، وتنزيل وتشغيل حمولة إضافية، وتنفيذ أوامر عبر CMD وPowerShell.
CastleLoader كبوابة وصول أولي
تُعتبر برمجية CastleLoader، التي وثقتها شركة الأمن السيبراني السويسرية PRODAFT لأول مرة في يوليو 2025، بوابة وصول أولية لتوزيع برمجيات خبيثة ثانوية مثل DeerStealer وRedLine وStealC وNetSupport RAT وSectopRAT وHijack Loader.
كما أظهرت تحليلات سابقة من IBM X-Force أن CastleLoader استُخدمت أيضاً لتوزيع برمجيات MonsterV2 وWARMCOOKIE من خلال التسميم عبر تحسين محركات البحث (SEO poisoning) ومستودعات GitHub المزيفة.
أما طرق العدوى الأكثر شيوعاً فتتم عبر حملات تصيّد تستغل أسلوب ClickFix بواجهة مشابهة لخدمات Cloudflare أو عبر مستودعات GitHub المنتحلة هوية تطبيقات شرعية. ويعتمد المهاجمون على نطاقات مقلدة لمكتبات برمجية ومنصات اجتماعات عبر الإنترنت وتنبيهات تحديث المتصفح وأنظمة التحقق من المستندات.
قدرات CastleRAT وتطور بنيته
تشير الأدلة إلى أن TAG-150 بدأت تطوير CastleRAT في مارس 2025، مستفيدة من بنية تحتية متعددة المستويات تشمل خوادم C2 موجهة للضحايا (Tier 1)، وأخرى داعمة على شكل VPS (Tier 2 و3)، بالإضافة إلى خوادم احتياطية (Tier 4).
البرمجية قادرة على تنزيل حمولات جديدة، وتمكين الوصول عبر سطر الأوامر عن بعد، وحتى حذف نفسها لتفادي التحليل. كما تستخدم ملفات تعريف على Steam Community كقنوات خفية (Dead Drop) لاستضافة عناوين خوادم التحكم (programsbookss[.]com).
وتتوافر CastleRAT في نسختين:
-
نسخة مكتوبة بلغة Python تُعرف أيضاً باسم PyNightshade.
-
نسخة مكتوبة بلغة C تُعرف باسم NightshadeC2 وتتميز بقدرات أوسع مثل تسجيل ضغطات المفاتيح، التقاط لقطات شاشة، رفع وتنزيل الملفات، واستخدام وظيفة Cryptocurrency Clipper لتغيير عناوين محافظ العملات الرقمية في الحافظة وتحويل الأموال إلى عناوين يسيطر عليها المهاجمون.
تقنيات التحايل والانتشار
تستعين النسخة المكتوبة بـ C بخدمة ip-api[.]com لجمع بيانات عن الموقع الجغرافي وعنوان الـIP العام للجهاز المصاب، بما يشمل معلومات عن المدينة والرمز البريدي وما إذا كان العنوان مرتبطاً بـ VPN أو Proxy أو شبكة TOR، قبل أن تُزال بعض هذه الخصائص في الإصدارات الأحدث، ما يعكس استمرار التطوير.
أما من جهة آليات التحايل، فقد وثقت شركة eSentire أن البرمجية تُنشر عبر محمل .NET يستخدم تقنيات مثل UAC Prompt Bombing لتجاوز الحماية الأمنية. كما رصدت نسخاً قادرة على سرقة كلمات المرور وملفات الكوكيز من المتصفحات المبنية على Chromium وGecko.
برمجيات خبيثة موازية
يتزامن ظهور CastleRAT مع اكتشاف برمجية TinyLoader، التي تُستخدم لنشر RedLine Stealer وDCRat عبر أقراص USB ومشاركة الشبكات والاختصارات المزيفة. وتعمل على مراقبة الحافظة لتغيير عناوين محافظ العملات الرقمية، مع استضافة لوحات التحكم الخاصة بها عبر خوادم في لاتفيا والمملكة المتحدة وهولندا.
كما رُصدت عائلتان جديدتان من البرمجيات:
-
TinkyWinkey: مسجّل مفاتيح متطور لنظام ويندوز يجمع البيانات عبر خدمة دائمة ويستخدم خطافات منخفضة المستوى للوحة المفاتيح.
-
Inf0s3c Stealer: أداة مكتوبة بلغة Python تجمع معلومات تفصيلية عن النظام، بما في ذلك المعالج وإعدادات الشبكة والتطبيقات قيد التشغيل، بالإضافة إلى لقطات الشاشة واستعراض هيكلي لمجلدات المستخدم مثل Desktop وDocuments وPictures وDownloads.
