CyberThao
Writer
Nhóm tội phạm mạng TAG-150 – đứng sau nền tảng phần mềm độc hại dạng dịch vụ (MaaS) và trình tải CastleLoader – đã phát triển một trojan truy cập từ xa (CastleRAT).
Theo Recorded Future Insikt Group, CastleRAT có hai phiên bản viết bằng Python và C, với chức năng chính gồm thu thập thông tin hệ thống, tải xuống và thực thi các tải trọng bổ sung, cũng như thực thi lệnh thông qua CMD và PowerShell.
CastleLoader (hay còn gọi là CastleBot) được công ty bảo mật Thụy Sĩ PRODAFT ghi nhận lần đầu vào tháng 7/2025. Công cụ này được sử dụng để phân phối nhiều loại mã độc như DeerStealer, RedLine, StealC, NetSupport RAT, SectopRAT và Hijack Loader. Nghiên cứu của IBM X-Force cũng chỉ ra rằng CastleLoader là phương tiện phát tán MonsterV2 và WARMCOOKIE thông qua SEO poisoning và các kho GitHub giả mạo phần mềm hợp pháp.
Theo Recorded Future, các chiến dịch lây nhiễm thường bắt đầu từ tấn công lừa đảo ClickFix theo chủ đề Cloudflare hoặc kho GitHub ngụy trang thành ứng dụng hợp pháp. Những kẻ điều hành tận dụng tên miền giả mạo thư viện phát triển, nền tảng họp trực tuyến, cảnh báo cập nhật trình duyệt và hệ thống xác minh tài liệu.
TAG-150 triển khai hạ tầng nhiều tầng: máy chủ C2 hướng nạn nhân cấp 1, tiếp đó là máy chủ cấp 2, 3 (chủ yếu là VPS) và cấp 4 đóng vai trò sao lưu.
CastleRAT – bổ sung mới trong kho vũ khí TAG-150 – có khả năng tải payload giai đoạn tiếp theo, kích hoạt shell từ xa, tự xóa và dùng hồ sơ cộng đồng Steam làm trình giải quyết thư mục chết, trỏ đến máy chủ C2 thực (“programsbookss[.]com”).
Đáng chú ý, phiên bản C của CastleRAT vượt trội hơn bản Python (còn gọi là PyNightshade):
Theo eSentire, CastleRAT (NightshadeC2) được triển khai qua loader .NET, sử dụng kỹ thuật UAC Prompt Bombing để vượt qua Windows Defender. Quy trình bao gồm chạy PowerShell liên tục nhằm thêm loại trừ vào Windows Defender cho payload chính. Nếu thành công, phần mềm độc hại được phân phối. Nếu không, vòng lặp tiếp tục, buộc người dùng chấp thuận nhiều lần. Điều này khiến sandbox phân tích bị “kẹt” nếu WinDefend bị tắt.
Ngoài ra, TAG-150 còn liên quan tới TinyLoader, một loader khác phục vụ Redline Stealer và DCRat, lây qua USB, chia sẻ mạng và shortcut giả. TinyLoader cũng giám sát clipboard để thay thế ví điện tử. Hệ thống C2 của nó được đặt tại Latvia, Anh và Hà Lan.
Cùng thời điểm, các chuyên gia còn phát hiện TinkyWinkey – keylogger ẩn trên Windows với khả năng thực thi liên tục và giám sát bàn phím, cùng Inf0s3c Stealer – stealer viết bằng Python, thu thập thông tin hệ thống, chụp ảnh màn hình, liệt kê tiến trình và thư mục người dùng. Inf0s3c Stealer có nhiều điểm tương đồng với Blank Grabber và Umbral-Stealer, cho thấy có thể chung tác giả.
Đọc chi tiết tại đây: https://thehackernews.com/2025/09/tag-150-develops-castlerat-in-python.html
Theo Recorded Future Insikt Group, CastleRAT có hai phiên bản viết bằng Python và C, với chức năng chính gồm thu thập thông tin hệ thống, tải xuống và thực thi các tải trọng bổ sung, cũng như thực thi lệnh thông qua CMD và PowerShell.
CastleLoader và cách TAG-150 phát tán CastleRAT
CastleLoader (hay còn gọi là CastleBot) được công ty bảo mật Thụy Sĩ PRODAFT ghi nhận lần đầu vào tháng 7/2025. Công cụ này được sử dụng để phân phối nhiều loại mã độc như DeerStealer, RedLine, StealC, NetSupport RAT, SectopRAT và Hijack Loader. Nghiên cứu của IBM X-Force cũng chỉ ra rằng CastleLoader là phương tiện phát tán MonsterV2 và WARMCOOKIE thông qua SEO poisoning và các kho GitHub giả mạo phần mềm hợp pháp.
Theo Recorded Future, các chiến dịch lây nhiễm thường bắt đầu từ tấn công lừa đảo ClickFix theo chủ đề Cloudflare hoặc kho GitHub ngụy trang thành ứng dụng hợp pháp. Những kẻ điều hành tận dụng tên miền giả mạo thư viện phát triển, nền tảng họp trực tuyến, cảnh báo cập nhật trình duyệt và hệ thống xác minh tài liệu.
TAG-150 triển khai hạ tầng nhiều tầng: máy chủ C2 hướng nạn nhân cấp 1, tiếp đó là máy chủ cấp 2, 3 (chủ yếu là VPS) và cấp 4 đóng vai trò sao lưu.
CastleRAT – bổ sung mới trong kho vũ khí TAG-150 – có khả năng tải payload giai đoạn tiếp theo, kích hoạt shell từ xa, tự xóa và dùng hồ sơ cộng đồng Steam làm trình giải quyết thư mục chết, trỏ đến máy chủ C2 thực (“programsbookss[.]com”).
Đáng chú ý, phiên bản C của CastleRAT vượt trội hơn bản Python (còn gọi là PyNightshade):
- Ghi lại thao tác bàn phím.
- Chụp ảnh màn hình.
- Tải lên/tải xuống tệp.
- Thay thế địa chỉ ví tiền điện tử trong clipboard để chiếm đoạt giao dịch.
Những kỹ thuật né tránh và mối liên hệ với mã độc khác
Theo eSentire, CastleRAT (NightshadeC2) được triển khai qua loader .NET, sử dụng kỹ thuật UAC Prompt Bombing để vượt qua Windows Defender. Quy trình bao gồm chạy PowerShell liên tục nhằm thêm loại trừ vào Windows Defender cho payload chính. Nếu thành công, phần mềm độc hại được phân phối. Nếu không, vòng lặp tiếp tục, buộc người dùng chấp thuận nhiều lần. Điều này khiến sandbox phân tích bị “kẹt” nếu WinDefend bị tắt.
Ngoài ra, TAG-150 còn liên quan tới TinyLoader, một loader khác phục vụ Redline Stealer và DCRat, lây qua USB, chia sẻ mạng và shortcut giả. TinyLoader cũng giám sát clipboard để thay thế ví điện tử. Hệ thống C2 của nó được đặt tại Latvia, Anh và Hà Lan.
Cùng thời điểm, các chuyên gia còn phát hiện TinkyWinkey – keylogger ẩn trên Windows với khả năng thực thi liên tục và giám sát bàn phím, cùng Inf0s3c Stealer – stealer viết bằng Python, thu thập thông tin hệ thống, chụp ảnh màn hình, liệt kê tiến trình và thư mục người dùng. Inf0s3c Stealer có nhiều điểm tương đồng với Blank Grabber và Umbral-Stealer, cho thấy có thể chung tác giả.
Đọc chi tiết tại đây: https://thehackernews.com/2025/09/tag-150-develops-castlerat-in-python.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
