IBM X-Force a enquêté sur un nouveau framework de malware nommé CastleBot. Le logiciel malveillant est soupçonné de faire partie d’une opération de MaaS (malware-as-a-service) et est spécifiquement conçu pour un déploiement flexible des logiciels malveillants. CastleBot est actuellement utilisé par des cybercriminels pour tout diffuser, des infostealers aux portes dérobées comme NetSupport et WarmCookie, qui ont été liés à des attaques de ransomware.
Ce qui rend CastleBot particulièrement inquiétant, c’est la façon dont il est distribué : le plus souvent via des installateurs de logiciels trojanisés téléchargés depuis de faux sites, incitant des utilisateurs sans méfiance à lancer eux-mêmes l’infection. Cette technique s’inscrit dans la tendance croissante observée par X-Force. Elle est souvent rendue possible par le biais de techniques de référencement abusives (SEO poisoning), qui permettent à des pages malveillantes de se classer plus haut dans les moteurs de recherche que les distributeurs de logiciels légitimes. Une fois à l’intérieur, CastleBot suit un processus en trois étapes : un stager/téléchargeur, un chargeur et une porte dérobée principale, qui demande un ensemble de tâches à son serveur de commande et de contrôle (C2). Les informations recueillies sur la machine infectée permettent aux opérateurs de filtrer facilement les victimes, de gérer les infections en cours et de déployer avec précision des logiciels malveillants sur des cibles de grande valeur.
CastleBot continue d’évoluer, et nos recherches montrent qu’il ne fait probablement que commencer. Dans ce rapport, nous détaillons comment il fonctionne, se propage et pourquoi cela est important.
CastleBot est apparu pour la première fois début 2025. X-Force a constaté une augmentation du volume d’échantillons et de différentes charges utiles à partir du mois de mai, et a depuis observé le déploiement de diverses portes dérobées et charges utiles de vol d’informations. Le vecteur d’infection le plus courant de CastleBot est un logiciel trojanisé, qui s’inscrit dans une tendance que X-Force continue d’observer depuis 2024. Des progiciels et des programmes d’installation trojanisés sont souvent distribués via de faux sites Web qui utilisent le SEO pour attirer des victimes. CastleBot était également distribué via des référentiels GitHub., en se faisant passer pour un logiciel légitime, et via la technique populaire ClickFix.
X-Force a identifié trois composants au sein du framework de malware CastleBot : un stager, un loader et le core/backdoor de CastleBot.
Veuillez noter que les précédents signalements publics de Prodraft font référence au même framework du logiciel malveillant que « CastleLoader ».
Dans la plupart des cas, le composant central de CastleBot est déployé via un stager shellcode, qui fait partie de la même famille de malwares CastleBot. Le stager est une charge utile shellcode légère qui peut être injectée par n’importe quel autre loader de premier niveau. X-Force a observé divers chiffreurs utilisés avec CastleBot, dont Dave, un chiffreur basé sur AutoIt, et des chiffreurs simples compilés en C.
Le logiciel malveillant utilise l’algorithme de hachage DJB2 pour résoudre les API nécessaires à l’exécution. Avant chaque appel API, il charge le DLL correspondant et parcourt la table d’adresses d’exportation (EAT) pour rechercher la fonction API via des hachages DJB2 pré-générés. Si l’exportation est transférée vers une autre DLL, le stager analyse le nom de la DLL, le charge et résout la fonction via GetProcAddress.
Une fois exécuté, le stager télécharge deux charges utiles via HTTP avec le User Agent « Googlebot ». Les chemins d’URL sont similaires entre les échantillons et pointent vers le même serveur C2 que le composant central de CastleBot.
Exemples d’URL de téléchargement :
http://173.44.141[.]89/service/download/data_3x.bin
http://173.44.141[.]89/service/download/data_4x.bin
Les deux charges utiles sont déchiffrées via une chaîne XOR codée en dur, dans ce cas « GySDoSGySDoS » (encodée en UTF-16), révélant un fichier PE (noyau de CastleBot) et un stub de shellcode (chargeur de CastleBot).
Le stager utilise ensuite VirtualProtect pour permettre l’exécution dans le heap de la région mémoire stockant la deuxième charge utile de shellcode déchiffrée. Celle-ci, agissant comme un loader, est exécutée directement en mémoire et reçoit en argument un pointeur vers le PE déchiffré.
Le CastleBot Loader est un chargeur PE complet qui commence par mapper chaque section du PE fourni dans une nouvelle région mémoire allouée à l’aide de NtAllocateVirtualMemory. Il corrige ensuite les déplacements nécessaires, résout les importations, définit les options de protection mémoire appropriées et exécute les fonctions de rappel TLS existantes.
Notamment, le loader configure également une nouvelle structure LDR_DATA_TABLE_ENTRY et le LDR_DDAG_NODE correspondant (étendu dans Windows 8 et versions ultérieures), qui sont ensuite ajoutés aux listes doublement chaînées PEB_LDR_DATA contenant les modules chargés pour chaque processus. Pour les agents EDR surveillant le PEB, la charge utile injectée apparaîtrait davantage comme si elle avait été légitimement chargée par le système d’exploitation.
Sauf si le fichier injecté est un DLL, le champ ImageBaseAddress du PEB est également défini sur l’adresse de base de la charge utile injectée.
Enfin, pour exécuter la charge utile, le loader CastleBot exécute le point d’entrée ou alloue une nouvelle console pour les applications console.
Dans l’échantillon analysé ci-dessus, la charge utile injectée est la porte dérobée x86 CastleBot (202f6b6631ade2c41e4762e5877ce0063a3beabce0c3f8564b6499a1164c1e04).
Le noyau de CastleBot utilise le même mécanisme de résolution d’API que les composants stager et loader, à l’exception de l’algorithme de hachage, qui est le hachage AP, développé par Arash Partow.
Tout d’abord, la porte dérobée commence par déchiffrer sa configuration. Presque toutes les chaînes dans le binaire, y compris celles qui font partie de la configuration, sont stockées en UTF-16 et déchiffrées en ligne via une clé XOR unique de 4 octets pour chaque chaîne. Lors du déchiffrement, la structure de configuration suivante est créée :
Le logiciel malveillant tente de créer un mutex, en utilisant le nom de la configuration, pour s’assurer qu’une seule instance est en cours d’exécution. Dans l’étape suivante, il envoie une requête HTTP GET à l’URL codée en dur pour récupérer ses paramètres, en utilisant l’ID de campagne dans le chemin de l’URL :
En réponse, CastleBot reçoit un bloc de données chiffrées.
Toute la communication C2 est chiffrée via l’algorithme symétrique ChaCha, à l’exception de la requête GET initiale du logiciel malveillant. Après le déchiffrement, le protocole C2 utilise une structure de données personnalisée sérialisée, appelée en interne conteneur, qui peut stocker des valeurs de différents types.
À la racine de la structure de données sérialisée se trouve toujours un champ de type ContainerFieldArray. Les structures ci-dessous définissent plus précisément comment les types tableau et booléen sont configurés :
Lors de l’analyse du conteneur déchiffré définissant les paramètres demandés par la porte dérobée, les données commencent par l’octet 0x0D, indiquant le type ContainerFieldArray.Cet octet est suivi du nom du champ, qui est lui-même la longueur sur 2 octets, suivie du nom codé en UTF-16. Après le nom, un champ de tableau définit une longueur de données sur 4 octets, suivie des données elles-mêmes, qui commencent à nouveau par le premier octet définissant le type.
Les paramètres reçus par l’échantillon analysé ci-dessus sont analysés comme suit.
Données sérialisées :
Objet désérialisé :
Pour chaque paramètre activé, les actions suivantes sont effectuées par CastleBot :
run_as_admin : le logiciel malveillant exécutera son processus parent via « cmd.exe /c <parent_process>» via ShellExecuteW avec le verbe « runas » pour le lancer en tant qu’administrateur.
anti_vm : CastleBot utilisera l’instruction cpuid avec la feuille 0x40000000 pour tenter de détecter les environnements de l’hyperviseur. Si VMware ou Parallels est détecté, le logiciel malveillant sera arrêté.
prevent_restart : CastleBot créera un nouveau fichier caché dans %PROGRAMDATA% avec le nom correspondant au nom du mutex intégré à la configuration. Si le fichier existe déjà, le logiciel malveillant s’arrêtera.
show_fake_error : le logiciel malveillant affiche une boîte de message « Erreur système » avec le message « Le programme ne peut pas démarrer car VCRUNTIME140.dll est manquant sur votre ordinateur. Essayez de réinstaller le programme pour résoudre ce problème.
Dans les étapes suivantes, CastleBot recueille des informations sur l’hôte infecté pour s’inscrire auprès du serveur C2 et demander des tâches.
Les informations sont compilées dans l’objet ci-dessous, suivies d’une sérialisation et d’un chiffrement ChaCha :
Les valeurs codées sont la clé d’accès (identique à l’agent utilisateur de la configuration), l’identifiant de la campagne et la version du build CastleBot, qui est "1.0" pour l’échantillon analysé.
La porte dérobée envoie les données chiffrées dans une requête HTTP POST à
La réponse est un conteneur chiffré plus volumineux contenant les tâches préconfigurées de CastleBot.
Le conteneur reçu du serveur C2 par l’échantillon CastleBot analysé est déchiffré et désérialisé dans un objet avec les champs suivants :
Le champ « tâches » est un type personnalisé de tableau décrit ci-dessus, contenant au moins un tableau non nommé (nom de longueur zéro), chacun représentant une tâche. CastleBot peut également recevoir un tableau contenant plusieurs tâches à exécuter les unes après les autres. Chaque tâche contient un identifiant et plusieurs champs détaillant comment la tâche doit être exécutée, et ils sont copiés dans une structure de tâche lors de la désérialisation.
Le champ le plus important dans chaque tâche est le « launch_method », qui détermine le type de charge utile à gérer par CastleBot.
Méthode de lancement
Charge utile
Exécution
1
EXE téléchargé depuis l’URL
Via CreateProcessW ou ShellExecuteW
2
DLL téléchargée depuis l’URL
Via ShellExecuteW et rundll.exe
3
DLL téléchargée depuis l’URL
Via LoadLibraryW
4
PE téléchargé depuis l’URL
Injecté dans un nouveau processus
5
Commande PowerShell dans le champ "argument"
Via ShellExecuteW
6
Commande BAT dans le champ "argument"
Via ShellExecuteW
Les autres champs peuvent être utilisés pour définir des options spécifiques pour l’exécution de la tâche :
Nom du champ
Description
id
ID unique de la tâche, utilisé pour signaler au serveur C2 que la tâche a été exécutée avec succès
url
URL pour récupérer la charge utile. Les charges utiles sont souvent hébergées sur le serveur C2 à l’adresse http://<castlebot_c2>/service/download/<payload_name>
install_path
Le chemin d’accès cible pour l’injection du processus, qui peut contenir des variables d’environnement, ou simplement ":SELF:", qui injecte la charge utile dans un doublon du processus parent.
argument
Arguments pour les processus dans install_path, ou commandes pour l’exécution PowerShell/BAT
run_as_admin
Si cette option est activée, les exécutions via ShellExecuteW utiliseront le verbe "runas" (exécuter en tant que).
startup_method
Si la valeur est définie sur « 1 », la persistance est créée pour la charge utile via une tâche planifiée déclenchée à chaque connexion.
is_encrypted_container
Si cette option est activée, la charge utile téléchargée à partir de l’URL est déchiffrée en RC4 et analysée comme un autre conteneur pour récupérer la charge utile de la tâche.
container_encryption_key
Clé RC4 utilisée avec le conteneur chiffré.
auto_unpack_zip
Si cette option est activée, la charge utile est traitée comme un fichier ZIP et extraite manuellement.
zip_executable_files
Une liste des fichiers cibles dans l’archive ZIP qui doivent être exécutés selon la méthode de lancement.
wow64_bypass
Une option ajoutée récemment, permettant de spécifier si des binaires système 32 bits doivent être lancés à la place.
CastleBot prend en charge l’injection de processus simples pour les charges utiles PE. Il commence par créer un nouveau processus suspendu, basé sur le chemin d’installation et les champs d’argument. Afin de fonctionner sous Windows 11 24H2 et les versions ultérieures, les développeurs du logiciel malveillant ont choisi d’accrocher la fonction NtManageHotPatch de NTDLL en mémoire afin de contourner le contrôle de la mémoire nouvellement ajouté. Voir le post de Hasherezade pour plus de détails. Il fournit également l’implémentation POC exacte utilisée par CastleBot :
Le reste de l’injection de processus suit les techniques d’injection habituelles en allouant de la mémoire dans le processus cible, en écrivant les sections dans la mémoire tampon et en modifiant le contexte du thread avant de reprendre l’exécution.
Si le champ de la méthode de démarrage est défini sur « 1 », CastleBot établit la persistance en créant une tâche planifiée. Pour enregistrer la tâche, le logiciel malveillant utilise l’interface COM ITaskService pour se connecter au service Task Scheduler. Il crée une nouvelle tâche et une action d’exécution pour la charge utile cible, qui est déclenchée chaque fois que l’utilisateur actuel se connecte (TASK_TRIGGER_LOGON).
Chaque tâche dans le conteneur « tâches » est gérée de manière itérative selon ses champs spécifiés. Une fois qu’une tâche a été exécutée sans erreur, le logiciel malveillant signale la réussite de l’exécution via une requête HTTP GET à :
X-Force a observé une variante mise à jour du noyau CastleBot, prenant en charge de nouvelles méthodes de lancement et une option appelée « wow64_bypass », utilisée spécifiquement pour lancer des binaires système 32 bits dans le dossier SysWOW64.
Méthode de lancement
Charge utile
Exécution
1
EXE téléchargé depuis l’URL
Via CreateProcessW ou ShellExecuteW
2
DLL téléchargée depuis l’URL
Via ShellExecuteW et rundll.exe
3
DLL téléchargée depuis l’URL
Via ShellExecuteW et regsrv32.exe
4
DLL téléchargée depuis l’URL
Via LoadLibraryW
5
PE téléchargé depuis l’URL
Injection dans un nouveau processus via un ancien mécanisme
6
PE téléchargé depuis l’URL
Injection dans le nouveau processus via PE Loader
7
Commande PowerShell dans le champ "argument"
Via ShellExecuteW
8
Commande BAT dans le champ "argument"
Via ShellExecuteW
9
MSI téléchargé à partir de l’URL
Via ShellExecuteW et msiexec.exe
La méthode supplémentaire d’injection de processus (méthode de lancement 6) écrit à la fois le composant CastleBot Loader (voir la section d’analyse ci-dessus) et la charge utile PE dans le processus cible. Elle utilise ensuite QueueUserAPC et ResumeThread pour transférer l’exécution au chargeur, qui charge correctement la charge utile PE dans la mémoire et l’exécute.
Cette technique utilise beaucoup moins d’appels à l’API WriteProcessMemory et fournit une fonctionnalité de chargement plus complète à partir du stub CastleBot Loader.
L’objectif principal de CastleBot est de permettre le déploiement de charges utiles secondaires sur les machines des victimes. X-Force a découvert plusieurs charges utiles différentes distribuées par CastleBot, souvent avec plusieurs charges utiles dans une même campagne. Les charges utiles sont plus ou moins sophistiquées, allant de simples voleurs d’informations à des portes dérobées plus performantes telles que NetSupport ou WarmCookie, qui ont été associées à des attaques de ransomware.
Le framework CastleBot MaaS semble permettre aux opérateurs de filtrer les machines infectées et de mettre facilement à jour les charges utiles pour gérer plusieurs campagnes actives avec une grande flexibilité, selon l’analyse de Prodaft et les capturesd’écran du panneau C2. Grâce à la fluidité des charges utiles et à la capacité de l’opérateur d’ajouter plusieurs tâches et charges utiles à une seule campagne, les chaînes d’infection de CastleBot sont plus complexes que les étapes statiques traditionnelles des logiciels malveillants.
X-Force ne dispose d’aucune preuve d’une publicité généralisée du MaaS sur le Dark Web, ce qui pourrait indiquer que le service n’est actuellement vendu qu’à un groupe privé d’affiliés.
Sans identifier le logiciel malveillant comme son propre framework, divers fragments des campagnes menant à NetSupport ont été signalés publiquement par d’autres chercheurs en juin et juillet 2025.
DomainTools observé de fausses pages DocuSign utilisant la technique ClickFix pour exécuter un script PowerShell malveillant, qui télécharge à son tour CastleBot pour déployer NetSupport. IoCs de la campagne
L’Unit42 de PaloAlto a signalé une activité similaire avec des sites Web imitant DocuSign et Okta, utilisant ClickFix pour déployer CastleBot via les composants stager et loader initiaux. Elle contient une analyse partielle d’un « NetSupport RAT Loader », que X-Force identifie comme étant le framework CastleBot. Campagne IoCs :
L’une des charges utiles les plus intéressantes de CastleBot est la porte dérobée WarmCookie (alias Quickbind, BadSpace). Elle fait probablement partie d’un vaste écosystème de cybercriminalité permettant des attaques par ransomware et figurait parmi les familles de logiciels malveillants ciblées avec succès par les forces de l’ordre internationales lors de l’opération Endgame en 2024. Auparavant, l’acteur de la menace Hive0137 a distribué WarmCookie par le biais de campagnes d’e-mails malveillants, bien qu’aucune activité significative n’ait été observée en 2025, selon les conclusions de X-Force. WarmCookie est publiquement lié aux opérations TA866/Asylum Ambuscade.
La campagne observée par X-Force a commencé en juin avec une archive ZIP militarisée imitant un programme d’installation pour un logiciel légitime SSMS-20.2-enu.zip (4766f5cc6501fc40c7151a0ce1c9d2cc49fca9b0b9cab2a206dd2426947e9afe). Parmi les composants légitimes, il contient un exécutable malveillant SSMS_Windows.x64.exe (05ecf871c7382b0c74e5bac267bb5d12446f52368bb1bfe5d2a4200d0f43c1d8) identifié comme une variante de Dave Loader, qui déchiffre une charge utile stockée dans ses ressources. Après le déchiffrement, Dave Loader injecte la porte dérobée CastleBot (202f6b6631ade2c41e4762e5877ce0063a3beabce0c3f8564b6499a1164c1e04), qui reçoit pour tâche de télécharger et d’exécuter une charge utile WarmCookie (5bca7f1942e07e8c12ecd9c802ecdb96570dfaaa1f44a6753ebb9ffda0604cb4) à partir de
Le serveur WarmCookie C2 est situé à l’adresse suivante :
Un deuxième échantillon découvert plus tard en juin utilisait un exécutable similaire, imitant un programme d’installation du logiciel Zscaler-windows-4.4.0.379-installer-x64.exe (bf21161c808ae74bf08e8d7f83334ba926ffa0bab96ccac42dde418270387890). Le binaire compilé par AutoIt est un simple chargeur de shellcode, exécutant le stager CastleBot intégré, qui à son tour télécharge le même binaire de porte dérobée CastleBot (202f6b6631ade2c41e4762e5877ce0063a3beabce0c3f8564b6499a1164c1e04).
Les exécutions en bac à sable de l’échantillon parent CastleBot indiquent que le même affilié a peut-être déposé une charge utile StealC avec un serveur C2 à "http://107.158.128[.]105/c91252f9ab114f26.php" pendant la campagne ; cependant, X-Force n’a pas pu récupérer d’échantillon.
Les deux campagnes utilisent l’ID de campagne CastleBot "81a16c72f9c9f4ea94d68b609c78f72d4a8725e7b8f6949b12d8871b6c6843e3".
De plus, X-Force suit plusieurs campagnes de CastleBot auprès de différents voleurs d’informations. Le logiciel malveillant prend en charge plusieurs tâches de téléchargement pour n’importe quelle campagne, ce qui entraînera le déploiement de plusieurs charges utiles sur le même client. L’exécutable AMD_Chipset_DriverOnly_DCH_AMD_Z_V1.2.0.105_20238.exe (e6aab1b6a150ee3cbc721ac2575c57309f307f69cd1b478d494c25cde0baaf85) charge la charge utile du noyau CastleBot intégré (b45cce4ede6ffb7b6f28f75a0cbb60e65592840d98dcb63155b9fa0324a88be2 ) à partir de sa ressource et l’exécute. Le point de terminaison des paramètres du serveur C2 est situé à
qui transmettait au total trois tâches distinctes dans un seul message C2, chacune déployant une charge utile différente :
X-Force a également découvert des campagnes déployant SecTopRAT (alias ArechClient), HijackLoader (alias Shadowladder) et MonsterV2 (alias Aurotun Stealer)..
SecTopRAT et HijackLoader :
MonsterV2 :
CastleBot est la dernière preuve d’un changement dans les vecteurs d’infection initiaux du paysage de la cybercriminalité. Les portes dérobées et les frameworks MaaS sont distribués de plus en plus par le biais de faux sites Web, dans le cadre de logiciels trojanisés ou via la technique ClickFix. Quelques mois seulement après l’observation d’une augmentation de l’activité de CastleBot, les développeurs ont déjà ajouté plusieurs nouvelles fonctionnalités et essaieront probablement de s’adapter aux solutions EDR et de sécurité réseau. L’activité actuelle suggère que de nombreux affiliés utilisent CastleBot pour déployer des infostealers et des portes dérobées, ce qui pourrait conduire à des incidents de ransomware à fort impact.
Il est conseillé aux lignes de défense de rester vigilantes quant aux techniques mentionnées dans ce rapport et de prendre les mesures appropriées pour réduire le risque d’infection par CastleBot.
Indicateur
Type d’indicateur
Contexte
http://173.44.141[.]89/service/
URL
URL de téléchargement du noyau de CastleBot
http://173.44.141[.]89/service/
URL
URL de téléchargement de CastleBot Loader
http://173.44.141[.]89/service/
URL
Serveur CastleBot C2
http://mhousecreative
URL
Serveur CastleBot C2
http://80.77.23[.]48/service/
URL
Serveur CastleBot C2
http://62.60.226[.]73/service/
URL
Serveur CastleBot C2
http://107.158.128[.]45/service/
URL
Serveur CastleBot C2
http://62.60.226[.]73/service/
URL
Serveur CastleBot C2
202f6b6631ade2c41e4762e5
SHA256
Noyau de CastleBot
a2898897d3ada2990e523b6
SHA256
Script PowerShell pour télécharger et extraire une archive ZIP
d6eea6cf20a744f3394fb0c
SHA256
Stager crypté CastleBot
http://mhousecreative[.]com
URL
URL de téléchargement de NetSupport (13 mai)
2a2cd6377ad69a298af55f2
SHA256
Charge utile NetSupport ZIP
8b2ebeff16a20cfcf794e8f31
SHA256
Script PowerShell pour télécharger et extraire une archive ZIP
cbaf513e7fd4322b14adcc34
SHA256
Stager crypté CastleBot
05ecf871c7382b0c74e5bac
SHA256
DaveLoader
http://173.44.141[.]89/service/
URL
URL de téléchargement de WarmCookie (6 juin)
5bca7f1942e07e8c12ecd9c80
SHA256
Charge utile WarmCookie
170.130.165[.]112
ipv4
Serveur WarmCookie C2
bf21161c808ae74bf08e8d7f83
SHA256
Chargeur AutoIt pour CastleBot Stager
http://107.158.128[.]105/c9125
URL
Serveur StealC C2
e6aab1b6a150ee3cbc721ac25
SHA256
Chargeur contenant le noyau de CastleBot
b45cce4ede6ffb7b6f28f75a0c
SHA256
Noyau de CastleBot
https://google.herionhelpline
URL
URL de téléchargement de Rhadamanthys (10 juillet)
03122e46a3e48141553e7567
SHA256
Charge utile de première étape de Rhadamanthys
https://google.herionhelpline
URL
URL de téléchargement de Remcos (10 juillet)
12de997634859d1f93273e55
SHA256
Charge utile de Remcos
https://google.herionhelpline[.]com
URL
URL de téléchargement de DeerStealer (10 juillet)
c8f95f436c1f618a8ef5c49055
SHA256
Charge utile de DeerStealer
8bf93cef46fda2bdb9d2a426
SHA256
Stager crypté CastleBot
http://107.158.128[.]45/service
URL
URL de téléchargement de HijackLoader et SecTopRAT (5 juillet)
4834bc71fc5d3729ad5280e4
SHA256
Charge utile ZIP HijackLoader et SecTopRAT
53dddae886017fbfbb43ef2369
SHA256
Stager crypté CastleBot
http://107.158.128[.]45/service
URL
URL de téléchargement de MonsterV2 (10 juillet)
ab725f5ab19eec691b66c37c715
SHA256
Charge utile MonsterV2
