Castlerat

Um novo ator de ameaças cibernéticas, conhecido como TAG-150, tem causado estragos desde março de 2025, utilizando uma infraestrutura sofisticada e uma variedade de famílias de malware personalizadas. Pesquisas do Insikt Group revelaram que a estrutura do TAG-150 é dividida em quatro camadas, incluindo servidores de comando e controle (C2) voltados para as vítimas, que gerenciam e implantam malwares como CastleLoader, CastleBot e o recém-descoberto CastleRAT, um trojan de acesso remoto (RAT) com variantes em Python e C. O CastleRAT se destaca pela sua sofisticação técnica, sendo capaz de coletar informações do sistema, executar comandos e evadir detecções. Os ataques geralmente começam com técnicas de phishing, onde vítimas são induzidas a executar comandos PowerShell disfarçados. A taxa de infecção entre as vítimas interativas é alarmante, alcançando 28,7%. Para dificultar a identificação, o TAG-150 utiliza serviços de privacidade e move sua infraestrutura frequentemente. Especialistas recomendam bloquear a infraestrutura identificada e monitorar canais de exfiltração de dados. O grupo deve continuar inovando e desenvolvendo novas famílias de malware, representando uma ameaça crescente para organizações em todo o mundo.

O grupo de cibercriminosos TAG-150, ativo desde março de 2025, está por trás do malware CastleLoader e do trojan de acesso remoto CastleRAT. O CastleRAT, disponível nas versões Python e C, permite coletar informações do sistema, baixar e executar cargas adicionais, além de executar comandos via CMD e PowerShell. A análise da Recorded Future indica que o CastleLoader é utilizado como vetor de acesso inicial para uma variedade de malwares, incluindo trojans de acesso remoto e ladrões de informações. As infecções geralmente ocorrem por meio de ataques de phishing que imitam plataformas legítimas ou repositórios do GitHub. O CastleRAT possui funcionalidades avançadas, como registro de teclas e captura de telas, e utiliza perfis da Steam como servidores de comando e controle. Recentemente, foram identificadas técnicas de evasão, como o uso de prompts de Controle de Conta de Usuário (UAC) para evitar detecções. Além disso, novas famílias de malware, como TinkyWinkey e Inf0s3c Stealer, foram descobertas, aumentando a preocupação com a segurança cibernética. A situação exige atenção redobrada das empresas, especialmente em relação à proteção de dados e conformidade com a LGPD.