TAG-150 Desenvolve CastleRAT em Python e C, Expandindo Operações do Malware CastleLoader

O grupo de ameaças TAG-150, responsável pelo framework malware-as-a-service CastleLoader, desenvolveu um novo trojan de acesso remoto chamado CastleRAT. Disponível nas versões Python e C, o malware coleta informações do sistema, baixa e executa payloads adicionais, e executa comandos via CMD e PowerShell.

Ativo desde março de 2025, o CastleLoader tem sido usado como vetor de acesso inicial para diversos payloads secundários, incluindo RATs, information stealers e outros loaders. As infecções ocorrem principalmente através de ataques de phishing temáticos da Cloudflare ("ClickFix") ou repositórios GitHub fraudulentos.

O CastleRAT apresenta funcionalidades avançadas:

• Versão Python (PyNightshade): Coleta informações básicas do sistema
• Versão C: Inclui keylogging, captura de tela, upload/download de arquivos e função de cryptocurrency clipper

A infraestrutura do TAG-150 é multi-camadas, utilizando servidores C2 de diferentes tiers, incluindo VPSes e servidores de backup. A versão C também consulta o serviço ip-api.com para geolocalização e detecção de VPN/proxy.

Paralelamente, foi identificado outro loader chamado TinyLoader, usado para distribuir Redline Stealer e DCRat, que monitora a área de transferência para substituir endereços de carteiras cripto.

Duas novas famílias de malware também foram descobertas:

• TinkyWinkey: Keylogger Windows com execução persistente e hooks de teclado de baixo nível
• Inf0s3c Stealer: Stealer em Python que coleta informações do sistema, processos e diretórios do usuário

As técnicas de evasão incluem bypass de UAC através de Prompt Bombing e tentativas de adicionar exclusões no Windows Defender, podendo prender sandboxes de análise em loops de execução.