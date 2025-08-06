IBM X-Force 正针对 CastleBot 这一新兴恶意软件框架展开调查。该恶意软件被证实属于恶意软件即服务 (MaaS) 运营体系，其设计初衷便是实现恶意软件的灵活部署。如今网络犯罪分子正利用 CastleBot 投放各类恶意程序，既包含信息窃取程序，也涵盖网络支持 NetSupport 与 WarmCookie 这类后门程序，而这两款后门程序均与勒索软件攻击存在关联。

CastleBot 最值得警惕的点在于其传播方式：它大多借助从虚假网站下载的植马软件安装程序进行传播，诱使毫无防备的用户自行触发感染程序。IBM X-Force）指出，这种传播手段正成为愈发普遍的攻击趋势。该传播方式通常通过 SEO 中毒技术实现，这种技术能让恶意网页在搜索引擎中的排名超越正规软件分发平台。恶意程序侵入设备后，会按三步流程展开攻击：先是启动加载器/下载器，接着运行加载模块，最后激活核心后门程序；此核心后门会向命令与控制服务器（C2 服务器）发送任务请求。攻击者通过收集受感染设备的相关信息，可轻松筛选攻击目标、管控持续感染进程，并精准向高价值目标投放恶意程序。

CastleBot 仍在持续演进，我方研究表明其很可能才刚刚启动运营。本报告将详细拆解其工作原理、传播路径及核心威胁价值。