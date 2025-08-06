IBM X-Force ha indagato su un framework malware emergente denominato CastleBot. Si ritiene che il malware faccia parte di un'operazione Malware-as-a-Service (MaaS) e che sia specificamente progettato per una implementazione flessibile di malware. CastleBot è attualmente utilizzato dai criminali informatici per distribuire di tutto, dagli infostealer alle backdoor come NetSupport e WarmCookie, che sono state collegate ad attacchi ransomware.

La caratteristica che rende CastleBot particolarmente preoccupante è il modo in cui viene distribuito: più spesso tramite installatori di software trojanizzati scaricati da siti web falsi, attirando utenti ignari a lanciare l'infezione con le proprie mani. Questa tecnica fa parte di una tendenza in crescita che X-Force sta osservando. Spesso CastleBot viene abilitato attraverso l'avvelenamento SEO, facendo in modo che le pagine dannose si posizionino più in alto nei motori di ricerca rispetto ai distributori di software legittimi. Una volta all'interno, CastleBot esegue un processo in tre fasi: uno stager/downloader, un loader e una backdoor core, che richiede una serie di compiti al suo server di comando e controllo (C2). Le informazioni raccolte dalla macchina infetta permettono agli operatori di filtrare facilmente le vittime, gestire le infezioni in corso e implementare malware su obiettivi di alto valore con precisione.

CastleBot è ancora in evoluzione e la nostra ricerca dimostra che probabilmente è solo l'inizio. In questo report analizziamo nel dettaglio come funziona, come si diffonde e perché è importante.