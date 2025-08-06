IBM X-Force 正针对 CastleBot 这一新兴恶意软件框架展开调查。该恶意软件被证实属于恶意软件即服务 (MaaS) 运营体系，其设计初衷便是实现恶意软件的灵活部署。如今网络犯罪分子正利用 CastleBot 投放各类恶意程序，既包含信息窃取程序，也涵盖网络支持 NetSupport 与 WarmCookie 这类后门程序，而这两款后门程序均与勒索软件攻击存在关联。
CastleBot 最值得警惕的点在于其传播方式：它大多借助从虚假网站下载的植马软件安装程序进行传播，诱使毫无防备的用户自行触发感染程序。IBM X-Force）指出，这种传播手段正成为愈发普遍的攻击趋势。该传播方式通常通过 SEO 中毒技术实现，这种技术能让恶意网页在搜索引擎中的排名超越正规软件分发平台。恶意程序侵入设备后，会按三步流程展开攻击：先是启动加载器/下载器，接着运行加载模块，最后激活核心后门程序；此核心后门会向命令与控制服务器（C2 服务器）发送任务请求。攻击者通过收集受感染设备的相关信息，可轻松筛选攻击目标、管控持续感染进程，并精准向高价值目标投放恶意程序。
CastleBot 仍在持续演进，我方研究表明其很可能才刚刚启动运营。本报告将详细拆解其工作原理、传播路径及核心威胁价值。
CastleBot 首次出现于 2025 年初。X-Force 注意到，自 5 月起 CastleBot 的样本数量显著增加，且出现了多种不同类型的恶意载荷，此后团队陆续观测到该恶意软件投放各类后门程序与信息窃取程序。植马软件是 CastleBot 最主要的感染途径，这一传播趋势自 2024 年起便持续被 X-Force 关注。这类植马软件安装包及程序通常通过虚假网站分发，借助搜索 SEO 中毒 技术吸引受害者点击。CastleBot 还通过伪装成合法软件的 GitHub 仓库，以及主流的 ClickFix 技术进行传播。
X-Force 识别出 CastleBot 恶意软件框架的三个组件：引导器、加载器和 CastleBot 核心/后门。
需说明的是，Prodraft 此前发布的公开报告中，将这一恶意软件框架命名为“CastleLoader”。
多数情况下，CastleBot 的核心组件通过其家族自带的外壳代码引导器完成部署。该引导器属于轻量级外壳代码载荷，可被任意其他初始阶段加载程序注入执行。IBM X-Force 发现 CastleBot 搭配使用了多种加密保护器，包括基于自动化脚本语言开发的 Dave，以及通过 C 语言编译而成的简易加密保护器。
该恶意软件使用 DJB2 哈希算法在运行时解析必要的 API。在每次发起 API 调用前，该恶意软件会加载对应 DLL，并遍历导出地址表 (EAT)，通过预先生成的 DJB2 哈希值查找目标 API 函数。若该导出函数被转发至另一 DLL，此引导器会解析该 DLL 的名称，加载该 DLL 后，通过 GetProcAddress 函数解析出目标函数的地址。
引导器执行后，会通过 HTTP 协议下载两个恶意载荷，请求头中使用的用户代理为 “Googlebot”。不同样本的 URL 路径具有相似性，且均指向与 CastleBot 核心组件相同的命令与 C2 服务器。
下载网址示例：
http://173.44.141[.]89/service/download/data_3x.bin
http://173.44.141[.]89/service/download/data_4x.bin
两个载荷均通过硬编码的 XOR 字符串（本案例中为"GySDoSGySDoS"，采用 UTF-16 编码）进行解密，解密后会还原出一个 PE 文件（即 CastleBot 核心）和一个外壳代码存根（即 CastleBot 加载器）。
随后，引导器使用 VirtualProtect 函数，为存储第二个解密后外壳代码载荷的内存区域开启堆执行权限。这一作为加载器的外壳代码会直接在内存中执行，并接收一个指向已解密 PE 文件的指针作为入参。
CastleBot 加载器是一个功能齐全的 PE 加载器，其工作流程如下：首先调用 NtAllocateVirtualMemory 函数分配一块新的内存区域，将传入的 PE 文件各节区映射至该区域；随后修正所有必要的重定位项、解析导入表、配置对应的内存保护属性，并执行已有的 TLS 回调函数。
值得注意的是，该加载器还会构建新的 LDR_DATA_TABLE_ENTRY 结构体及对应的 LDR_DDAG_NODE 结构体（Windows 8 及后续版本中扩展的结构），并将这些结构体添加到 PEB_LDR_DATA 的双向链表中，该链表存储着进程已加载的所有模块信息。对于监控进程环境块 (PEB) 的 EDR 代理而言，这种操作会让注入的载荷看起来更像是由操作系统合法加载的模块，从而规避检测。
除非注入的文件为 DLL，否则 PEB 的 ImageBaseAddress 也会被设置为注入载荷的基址。
最后，为执行载荷，CastleBot 加载器会调用载荷的入口点；若为控制台应用程序，则会分配新的控制台窗口以完成执行。
在上述样本中，注入的载荷是 x86 CastleBot 后门 (202f6b6631ade2c41e4762e5877ce0063a3beabce0c3f8564b6499a1164c1e04)。
CastleBot 核心使用与引导器和加载器组件相同的 API 解析机制，但哈希算法除外，核心组件使用的是由 Arash Partow 开发的 AP 哈希算法。
首先，后门从解密其配置开始。该二进制文件中的几乎所有字符串（包括配置相关字符串）均以 UTF-16 编码格式存储，并通过每个字符串专属的 4 字节 XOR 密钥进行内联解密。解密过程中，会生成如下配置结构体：
该恶意软件会尝试利用配置中的名称创建一个互斥体，以确保仅单个实例运行。下一步，它会向硬编码的 URL 发送 HTTP GET 请求获取配置参数，请求的 URL 路径中包含攻击行动标识 ID，具体格式如下：
作为响应，CastleBot 会收到一段加密数据。
除初始的 GET 请求外，该恶意软件所有的 C2 通信均通过对称加密算法 ChaCha 进行加密保护。解密后，其 C2 协议采用序列化的自定义数据结构（内部称为“容器”），该结构支持存储多种不同类型的数据。
该序列化数据结构的根节点始终为 ContainerFieldArray 的字段。下方这些结构体进一步定义了数组类型与布尔类型的具体构造方式：
在解析后门请求的配置信息所对应的解密后容器时，数据以字节 0x0D开头，该字节标识数据类型 ContainerFieldArray。紧随其后的是字段名：先以 2 字节存储字段名长度，后续紧跟 UTF-16 编码的字段名字符串。字段名之后是数组字段结构：先通过 4 字节指定数据长度，再存储数据本体；而数据本体的首字节同样用于定义其自身的数据类型。
上述分析的样本收到的设置解析如下。
序列化数据：
反序列化对象：
对于每个启用的设置，CastleBot 均执行以下操作：
run_as_admin：该恶意软件会通过 ShellExecuteW 函数，以“runas”动词执行命令 cmd.exe /c <父进程路径>，从而以管理员权限启动其父进程。
anti_vm： CastleBot 会通过 cpuid 指令搭配 0x40000000 功能号，尝试检测当前运行环境是否为虚拟化环境。若检测到当前环境为 VMware 或 Parallels 虚拟机，该恶意软件将直接终止运行。
prevent_restart： CastleBot 会在 %PROGRAMDATA% 目录下创建一个新的隐藏文件，文件名与配置中嵌入的互斥体名称保持一致。如果该文件已存在，该恶意软件将退出。
show_fake_error：该恶意软件会弹出一个标题为“系统错误”的消息框，提示内容为“由于计算机中缺少 VCRUNTIME140.dll 文件，该程序无法启动。请尝试重新安装程序以修复此问题。”
下一步，CastleBot 会收集受感染主机的相关信息，用于向 C2 服务器完成注册并请求任务。
上述收集的信息会整合为如下数据对象，经序列化处理后通过 ChaCha 加密算法进行加密：
硬编码值包含访问密钥（与配置中的用户代理完全一致）、攻击行动标识以及 CastleBot 的构建版本（针对所分析的样本，版本为 1.0）。
后门会通过 HTTP POST 请求将加密数据发送到
。响应为一个更大的加密容器，其中包含 CastleBot 的预配置任务。
所分析的 CastleBot 样本从 C2 服务器接收的容器经解密和反序列化后，会生成一个包含以下字段的对象：
“tasks”字段是前文详述的自定义类型数组，该数组中至少包含一个无名数组（名称长度为 0），每个无名数组均对应一项任务。CastleBot 也可能收到一个数组，其中包含多个需要依次执行的任务。每个任务包含一个 ID 和多个字段，详细说明任务的执行方式，这些字段在反序列化过程中被复制到任务结构中。
每个任务中最重要的字段是“launch_method”，它决定 CastleBot 要处理的载荷的类型。
Launch method
载荷
执行
1
从 URL 下载的 EXE 文件
通过 CreateProcessW 或 ShellExecuteW
2
从 URL 下载的 DLL
通过 ShellExecuteW 和 rundll.exe
3
从 URL 下载的 DLL
通过 LoadLibraryW
4
从 URL 下载的 PE
注入新进程
5
“参数”字段中的 PowerShell 命令
通过 ShellexecuteW
6
“参数”字段中的 BAT 命令
通过 ShellexecuteW
其余字段用于为任务执行设置特定选项，具体说明如下：
字段名称
说明
id
唯一任务 ID，用于向 C2 服务器报告成功执行
url
用于检索载荷的 URL。载荷通常托管在 C2 服务器上，网址为 http://<castlebot_c2>/service/download/<payload_name>
install_path
进程注入的目标路径（可包含环境变量），或直接指定为“:SELF:”，表示将载荷注入到父进程的副本中。
argument
适用于 install_path 路径下进程的执行参数，或用于 PowerShell/BAT 脚本执行的命令
run_as_admin
如果设置，通过 ShellExecuteW 执行的操作将使用“runas”动词。
startup_method
如果设置为“1”，则通过创建一个在每次登录时触发的计划任务，为载荷建立持久化机制。
is_crypted_container
如果设置，则从 URL 下载的载荷将使用 RC4 解密并解析为另一个容器，以检索任务的载荷。
container_encryption_key
与加密容器结合使用的 RC4 密钥。
auto_unpack_zip
如果设置，载荷将被视为 ZIP 文件并手动解压。
zip_executable_files
ZIP 压缩包中包含的目标文件列表，这些文件将根据预设的启动方式执行。
wow64_bypass
最近才添加的选项，用于指定是否应启动 32 位系统二进制文件。
CastleBot 支持对 PE 载荷进行简单的进程注入。该恶意软件首先基于安装路径与参数字段创建一个新的挂起进程。为适配 Windows 11 24H2 及后续版本，开发者选择在内存中挂钩 NTDLL 模块的 NtManageHotPatch 函数，以绕过系统新增的内存检测机制。详见 Hasherezade 的技术博文（含 CastleBot 所用 POC 的完整实现）：
进程注入的后续流程遵循常规注入技术逻辑：在目标进程中分配内存，将节区写入缓冲区，修改线程上下文后恢复进程执行。
若启动方式字段设置为“1”，CastleBot 将通过创建计划任务建立持久化。为完成任务注册，该恶意软件利用 ITaskService COM 接口连接至任务计划程序服务。它会创建新任务并为目标载荷配置执行操作，触发条件为当前用户每次登录系统（对应触发类型 TASK_TRIGGER_LOGON）。
“任务”容器中的每项任务会根据其指定字段进行迭代处理。若某任务无错误执行完成，该恶意软件将通过 HTTP GET 请求向以下地址反馈执行成功结果：
X-Force 观察到一个更新的 CastleBot 核心变体，该变体支持新的启动方法和一个名为“wow64_bypass”的选项，此选项专门用于启动 SysWOW64 文件夹中的 32 位系统二进制文件。
Launch method
载荷
执行
1
从 URL 下载的 EXE 文件
通过 CreateProcessW 或 ShellExecuteW
2
从 URL 下载的 DLL
通过 ShellExecuteW 和 rundll.exe
3
从 URL 下载的 DLL
通过 ShellExecuteW 和 regsrv32.exe
4
从 URL 下载的 DLL
通过 LoadLibraryW
5
从 URL 下载的 PE
通过旧机制注入新进程
6
从 URL 下载的 PE
通过 PE 加载器注入新进程
7
“参数”字段中的 PowerShell 命令
通过 ShellexecuteW
8
“参数”字段中的 BAT 命令
通过 ShellexecuteW
9
从 URL 下载的 MSI
通过 ShellExecuteW 和 msiexec.exe
另一种进程注入实现方式（启动方式 6）会将 CastleBot 加载器组件（详见上文分析章节）和 PE 载荷一并写入目标进程空间。随后，该方式通过调用 QueueUserAPC 和 ResumeThread 将执行权转移至加载器；加载器会将 PE 有效载荷正确加载至内存并执行。
该技术大幅减少了 WriteProcessMemory API 的调用次数，且依托 CastleBot 加载器存根实现了更完善的加载功能。
CastleBot 的核心目标是在受害者主机上部署二级载荷。X-Force 发现 CastleBot 会分发多种不同类型的载荷，且在单次攻击活动中通常会投放多个载荷。这些载荷的技术成熟度参差不齐，既包括常见的信息窃取器，也包括功能更强大的后门（如 NetSupport 或 WarmCookie），这类后门已被证实与勒索软件攻击存在关联。
根据 Prodaft 对其 C2 面板的分析及截图显示，CastleBot 这款恶意软件即服务 (MaaS) 框架，允许攻击者筛选受感染主机，并能轻松更新有效载荷，从而灵活管理多个活跃的攻击活动。由于载荷具备高度灵活性，且攻击者可在单次攻击活动中添加多项任务及多个有效载荷，相比传统静态的恶意软件攻击阶段，CastleBot 的感染链更为复杂。
X-Force 目前暂无证据表明该 MaaS 在暗网进行大规模推广，这可能意味着该服务当前仅向特定的专属合作团伙出售。
2025 年 6 月至 7 月期间，已有其他研究人员公开报告了多项最终导向 NetSupport 后门的攻击活动相关片段，但并未将其中的恶意软件认定为独立框架。
据 DomainTools 观察，攻击者利用伪造的 DocuSign 网页，通过 ClickFix 技术执行恶意 PowerShell 脚本，该脚本进而下载 CastleBot，并通过 CastleBot 部署 NetSupport 后门。攻击活动 IoC：
Palo Alto Networks 旗下的 Unit42 团队也报告了类似攻击活动：攻击者搭建仿冒 DocuSign 与 Okta 的虚假网站，通过 ClickFix 技术，借助初始引导器和加载器组件部署 CastleBot。Unit42 的报告中包含对一款“NetSupport RAT 加载器”的部分分析，而 IBM X-Force 已确认该加载器实为 CastleBot 框架的组成部分。攻击活动 IoC：
CastleBot 所分发的有效载荷中，较为值得关注的一款是 WarmCookie 后门（又名 Quickbind、BadSpace）。该后门很可能是支持勒索软件攻击的大型网络犯罪生态系统的组成部分，且在 2024 年国际执法部门开展的“终局行动”中，被列为成功打击的恶意软件家族之一。IBM X-Force 表示，此前威胁参与者 Hive0137 曾通过恶意邮件活动分发 WarmCookie，但截至目前，2025 年尚未观测到该恶意软件的显著活动迹象。公开信息显示，WarmCookie 与 TA866/Asylum Ambuscade 组织的攻击行动存在关联。
X-Force 观测到的该攻击活动始于 6 月，攻击者通过一个伪装成合法软件安装包的恶意 ZIP 压缩包 SSMS-20.2-enu.zip (4766f5cc6501fc40c7151a0ce1c9d2cc49fca9b0b9cab2a206dd2426947e9afe) 发起攻击。该压缩包中包含合法软件组件，但同时植入了一个恶意可执行文件 SSMS_Windows.x64.exe (05ecf871c7382b0c74e5bac267bb5d12446f52368bb1bfe5d2a4200d0f43c1d8)，经识别，该文件是 Dave 加载器的一个变种，其核心功能是解密存储在自身资源段中的有效载荷。解密完成后，Dave 加载器会注入 CastleBot 后门 (202f6b6631ade2c41e4762e5877ce0063a3beabce0c3f8564b6499a1164c1e04)，而 CastleBot 会接收指令，从指定来源下载并执行 WarmCookie 后门载荷 (5bca7f1942e07e8c12ecd9c802ecdb96570dfaaa1f44a6753ebb9ffda0604cb4)。
WarmCookie C2 服务器位于：
6 月下旬发现的第二个样本采用了类似的恶意可执行文件，该文件伪装成 Zscaler 软件 Zscaler-windows-4.4.0.379-installer-x64.exe (bf21161c808ae74bf08e8d7f83334ba926ffa0bab96ccac42dde418270387890)。这款经 AutoIt 编译的二进制文件是一个简单的 shellcode 加载器，其功能为执行内嵌的 CastleBot 引导器，进而下载与前一个样本相同的 CastleBot 后门 (202f6b6631ade2c41e4762e5877ce0063a3beabce0c3f8564b6499a1164c1e04)。
对该 CastleBot 母样本的沙盒执行测试结果显示，同一合作团伙可能在此次攻击活动中投放了 StealC 有效载荷，其 C2 服务器地址为“http://107.158.128 [.] 105/c91252f9ab114f26.php”；不过，IBM X-Force 暂未成功获取该 StealC 样本。
上述两起攻击活动均使用相同的 CastleBot 攻击活动 ID：81a16c72f9c9f4ea94d68b609c78f72d4a8725e7b8f6949b12d8871b6c6843e3。
此外，X-Force 正在追踪多个由 CastleBot 发起的攻击活动，这些活动会分发各类信息窃取器。该恶意软件支持为任意攻击活动配置多项下载任务，这将导致在同一客户端主机上部署多个有效载荷。其中，可执行文件 AMD_Chipset_DriverOnly_DCH_AMD_Z_V1.2.0.105_20238.exe (e6aab1b6a150ee3cbc721ac2575c57309f307f69cd1b478d494c25cde0baaf85) 会从自身资源段加载内嵌的 CastleBot 核心载荷 (b45cce4ede6ffb7b6f28f75a0cbb60e65592840d98dcb63155b9fa0324a88be2) 并执行。其 C2 服务器的配置端点位于
监测发现该端点在单条 C2 消息中总共传输了三项独立任务，每项任务均部署一款不同的载荷，具体如下：
X-Force 进一步发现，部分 CastleBot 攻击活动还会部署 SecTopRAT（又名 ArechClient）、HijackLoader（又名 Shadowladder）以及 MonsterV2（又名 Aurotun Stealer）。
SecTopRAT 与 HijackLoader：
MonsterV2：
CastleBot 的出现，进一步印证了网络犯罪威胁格局中初始感染向量的转变趋势。）及网络安全解决方案的防御。后门与 MaaS 框架正越来越多地通过以下方式传播：一是伪装成恶意篡改软件的虚假网站，二是借助 ClickFix 技术。自观测到 CastleBot 活动呈上升趋势后的短短几个月内，其开发者已为该框架新增多项功能，且未来很可能会持续调整迭代，以规避 EDR 和网络安全解决方案。当前攻击活动表明，已有多个合作团伙在利用 CastleBot 部署信息窃取器与后门，这类行为可能引发高影响级别的勒索软件攻击事件。
建议防御方对本报告提及的相关攻击技术保持高度警惕，并采取适当防护措施，降低遭遇 CastleBot 感染的风险。
