کمیته رکن چهارم – گزارش جدیدی از فعالیت چهار خوشه تهدید سایبری منتشر شده که از ابزار لودری به نام CastleLoader برای توزیع بدافزارهای مختلف استفاده میکنند. این تحلیل نشانهدهنده گسترش مدل بدافزار بهعنوانسرویس (MaaS) است؛ به این معنا که ابزارهای پیچیده در اختیار بازیگران متعدد قرار گرفتهاند.
به گزارش کمیته رکن چهارم، گروه تهدید اصلی پشت این بدافزار که توسط واحد Insikt Group شرکت Recorded Future با نام GrayBravo شناخته میشود، تاکنون با چرخههای توسعه سریع، زیرساخت پویا و واکنشپذیری بالا در برابر افشاگریها شناخته شده است. این گروه پیشتر با نام TAG‑۱۵۰ نیز ردیابی شده بود.
تحلیلها نشان میدهند که لودر CastleLoader، بدافزارهایی مانند DeerStealer، RedLine Stealer، StealC Stealer، NetSupport RAT، SectopRAT، MonsterV2، WARMCOOKIE و Hijack Loader را برای مهاجمان دیگر توزیع میکند. این چارچوب به مهاجمان اجازه میدهد تا ماژولهای اصلی را روی ماشین قربانی بارگذاری کنند و سپس اتصال به سرورهای فرمان و کنترل (C2) برقرار شود تا دستورات بیشتر اجرا شود.
بر اساس نتایج تحلیل Recorded Future، چهار خوشه عملیاتی مجزا شناسایی شده است:
١. خوشه TAG‑۱۶۰ که از اسفند ۱۴۰۳ (مارس ۲۰۲۵) فعال است و با تکیه بر فیشینگ و ابزار ClickFix، حملات را علیه بخش لجستیک اجرا میکند.
٢. خوشه TAG‑۱۶۱ از خرداد ۱۴۰۴ (ژوئن ۲۰۲۵) با صفحات جعلی شبیه Booking.com اقدام به توزیع CastleLoader و بدافزار Matanbuchus 3.0 کرده است.
٣. خوشه سوم نیز با استفاده از زیرساختهای جعلی Booking.com و ترکیب ClickFix و صفحات Steam Community، CastleRAT را توزیع میکند.
۴. خوشه چهارم از فروردین ۱۴۰۴ (آوریل ۲۰۲۵) از تبلیغات مخرب و بروزرسانیهای نرمافزاری جعلی برای توزیع CastleLoader و NetSupport RAT سود برده است.
تحلیلها همچنین نشان میدهند که GrayBravo از شبکهای چندسطحی سرورها برای پشتیبانی از عملیاتهایش استفاده میکند، از جمله سرورهای C2 مرتبط با انواع بدافزارها و سرورهای VPS که احتمالاً بهعنوان سرورهای واسط عمل میکنند.
در یکی از خوشهها (TAG‑۱۶۰)، مهاجمان با استفاده از حسابهای جعلی یا هکشده در پلتفرمهای حملونقل مانند DAT Freight & Analytics و Loadlink Technologies، حملات فیشینگ را طراحی کردهاند تا با جعل شرکتهای واقعی در صنعت لجستیک، اعتبار کمپینها را افزایش دهند. این تاکتیکها نشاندهنده درک عمیق این گروه از فرآیندهای صنعتی و کسبوکارهای لجستیکی است.
در پایان، Recorded Future اشاره کرده است که با وجود اطمینان پایین، ممکن است این خوشهها با فعالیتهای قبلی علیه شرکتهای حملونقل در آمریکای شمالی مرتبط باشند. رشد خوشههای عملیاتی و افزایش بازیگرانی که از CastleLoader استفاده میکنند، نشان میدهد که ابزارهای بدافزاری پیشرفته میتوانند به سرعت در اکوسیستم تهدیدات سایبری گسترش یابند و خطرات جدیدی برای امنیت دیجیتال ایجاد کنند.
