El actor de amenaza detrás del marco y el cargador de malware como servicio (MAAS) llamado Castleloader también ha desarrollado un troyano de acceso remoto conocido como Castlerat. «Disponible en las variantes de Python y C, la funcionalidad central de Castlerat consiste en recopilar información del sistema, descargar y ejecutar cargas útiles adicionales y ejecutar comandos a través de CMD y PowerShell», dijo Future Insikt Group. La compañía de ciberseguridad está rastreando al actor de amenaza detrás de las familias de malware como TAG-150. Se cree que es activo desde al menos en marzo de 2025, Castleloader et al son vistos como vectores de acceso iniciales para una amplia gama de cargas útiles secundarias, incluidos troyanos de acceso remoto, robos de información e incluso otros cargadores. Castleloader fue documentado por primera vez por la compañía suiza de ciberseguridad ProDaft en julio de 2025, ya que se había utilizado en varias campañas que distribuyen Deerstealer, Redline, Stealc, NetSupport Rat, Sectoprat y Hijack Loader. Un análisis posterior de IBM X-Force el mes pasado descubrió que el malware también ha servido como conducto para Monsterv2 y Warmcookie a través del envenenamiento por SEO y los repositorios de Github que se hacen pasar por software legítimo. «Las infecciones se inician más comúnmente a través de ataques de phishing ‘ClickFix’ temáticos de Cloudflare o repositorios fraudulentos de GitHub disfrazados de aplicaciones legítimas», dijo Future, dijo Future. «Los operadores emplean la técnica ClickFix aprovechando los dominios que imitan las bibliotecas de desarrollo de software, las plataformas de reuniones en línea, las alertas de actualización del navegador y los sistemas de verificación de documentos». La evidencia indica que TAG-150 ha estado trabajando en Castlerat desde marzo de 2025, con el actor de amenazas aprovechando una infraestructura de niveles múltiples que comprende los servidores de comando y control de la víctima de nivel 1, así como servidores de nivel 2 y nivel 3 de nivel 1, en su mayoría servidores privados virtuales (VPSE) y servidores de copia de seguridad de nivel 4. Castlerat, la adición recientemente descubierta al Arsenal de TAG-150, puede descargar cargas útiles de la próxima etapa, habilitar capacidades de shell remota e incluso eliminarse. También utiliza los perfiles de la comunidad de Steam como resolución de Dead Drop para alojar los servidores C2 («Libros de programas[.]com «). En particular, Castlerat viene en dos versiones, una escrita en C y la otra, programada en Python, con este último también llamado PynightShade. Vale la pena señalar que Esentire está rastreando el mismo malware bajo el nombre NightShadec2. La variante C de Castlerat incorpora más funcionalidad, lo que permite Para sustituir las direcciones de la billetera copiadas en el portapapeles con una controlada por el atacante con el objetivo de redirigir las transacciones.[.]com para recopilar información basada en la dirección IP pública del host infectado «, dijo Future.» Sin embargo, el alcance de los datos se ha ampliado para incluir la ciudad, el código postal y los indicadores de si la IP está asociada con una VPN, proxy o nodo de tor en el código IP-API.[.]com, indicando desarrollo activo. Queda por ver si su contraparte de Python alcanza la paridad de características. Esentire, en su propio análisis de NightShadec2, lo describió como una botnet que se implementa mediante un cargador .NET, lo que, a su vez, hace uso de técnicas como UAC provocó un bombardeo para evitar las protecciones de seguridad. La compañía canadiense de ciberseguridad dijo que también identificaba variantes equipadas con características para extraer contraseñas y cookies de navegadores web basados ​​en Chromium y Gecko. En pocas palabras, el proceso implica ejecutar un comando PowerShell en un bucle que intenta agregar una exclusión en el defensor de Windows para la carga útil final (es decir, NightShadec2), después de lo cual el cargador verifica el código de salida del proceso PowerShell para determinar si es 0 (significado). Si la exclusión se agrega con éxito, el cargador procede a entregar el malware. Si se devuelve algún otro código de salida que no sea 0, el bucle sigue ejecutándose repetidamente, lo que obliga al usuario a aprobar el mensaje de control de la cuenta del usuario (UAC). «Un aspecto particularmente notable de este enfoque es que los sistemas con el servicio Windefend (Windows Defender) discapacitados generarán códigos de salida no cerosos, lo que provocará que los sandboxes de análisis de malware queden atrapados en el bucle de ejecución», dijo Esentire, y agregó el método permite un derivación de múltiples soluciones de sandbox. El desarrollo se produce cuando Hunt.io detalló otro cargador de malware llamado TinyLoader que se ha utilizado para servir a Redline Stealer y DCRAT. Además de establecer la persistencia modificando la configuración del registro de Windows, el malware monitorea el portapapeles y reemplaza instantáneamente las direcciones de billetera criptográfica copiadas. Sus paneles C2 están alojados en Letonia, el Reino Unido y los Países Bajos. «TinyLoader instala tanto el robador de línea roja como los robadores de criptomonedas para cosechar credenciales y transacciones de secuestro», dijo la compañía. «Se extiende a través de unidades USB, acciones de red y atajos falsos que engañan a los usuarios para que lo abran». Los hallazgos también coinciden con el descubrimiento de dos nuevas familias de malware, un keylogger basado en Windows llamado TinkyWinkey y un robador de información de Python denominado robador de infales3c, que puede recopilar la entrada del teclado y recopilar información extensa del sistema, respectivamente. Un análisis posterior de Inf0S3C Stealer ha identificado puntos de similitud con el agarre en blanco y el robo de upbral, otras dos familias de malware disponibles públicamente, lo que sugiere que el mismo autor podría ser responsable de las tres cepas. «Tinkywinkey representa un keylogger altamente capaz y sigiloso basado en Windows que combina la ejecución persistente del servicio, los ganchos de teclado de bajo nivel y el perfil integral del sistema para recopilar información confidencial», dijo Cyfirma. Inf0S3C Stealer «recopila sistemáticamente los detalles del sistema, incluidos los identificadores del host, la información de la CPU y la configuración de la red, y captura capturas de pantalla. Enumera en ejecución de procesos y genera vistas jerárquicas de directorios de usuarios, como escritorio, documentos, imágenes y descargas».