IBM X-Force® は、CaststBotと名付けられた新たなマルウェア・フレームワークを調査しています。このマルウェアは、Malware-as-a-Service（MaaS）オペレーションの一部であると考えられており、柔軟なマルウェアのデプロイメントのために特別に設計されたものです。CastleBotは現在、情報窃盗からNetSupportやWarmCookieのようなバックドアまで、あらゆるものを配信するためにサイバー犯罪者によって使用されている。
CastleBotを特に懸念すべきものにしているのは、その配布方法です。ほとんどの場合、偽のWebサイトからダウンロードされたトロイの木馬ソフトウェア・インストーラーを介して、無防備なユーザーを誘導し、そのユーザー自身に感染を開始させます。このテクニックは、X-Force® の観察において増加傾向を示しています。多くの場合、SEOポイズニングによって実現されることが多く、これにより悪意のあるページが正規のソフトウェア・ディストリビューターよりも検索エンジンで上位にランクされます。その内部に入ると、CatureBotはステージング/ダウンローダー、ローダー、そしてコマンド・アンド・コントロール（C2）サーバーに一連のタスクを要求するコア・バックドアという3段階のプロセスを実行します。感染したマシンから収集された情報を利用することで、オペレーターは被害者を簡単にフィルタリングし、進行中の感染を管理し、価値の高い標的にマルウェアを正確にデプロイすることができます。
CastleBotはまだ進化しており、私たちの研究によると、これはまだ初期段階にあると考えられます。このレポートでは、それがどのように機能するのか、どのように広がるのか、そしてなぜそれが問題になるのかについて分析します。
CastleBotは2025年初頭に初めて登場しました。X-Force® は、5月からサンプル量とさまざまなペイロードが増加したことを記録し、それ以来、さまざまなバックドア・ペイロードとインフォスティーラー・ペイロードのデプロイメントを観察しています。CastleBotの最も一般的な感染経路はトロイの木馬であり、これはX-Force® が2024年から観測し続けている傾向の一部です。トロイの木馬は、多くの場合、SEOポイズニングを使用して偽のWebサイトを介して被害者を引き付けて配布されます。CastleBotはまた、正規のソフトウェアを装ってGitHubリポジトリから、および人気のClickFix技術を通じて配布されていました。
X-Force® は、CaststBotのマルウェア・フレームワークの一部として、ステージラー、ローダー、CastBotコア/バックドアの3つのコンポーネントを特定しました。
Prodraftの以前の公開報告では「CastleLoader」と同じマルウェアフレームワークが言及されていることに注意してください。
ほとんどの場合、CatureBotのコア・コンポーネントは、同じCastBotマルウェア・ファミリーの一部であるシェルコード・ステージャーを介してデプロイされます。このステージャーは、他の第1段階のローダーによって注入が可能な軽量のシェルコード・ペイロードです。X-Force® では、AutoItベースのクリプターであるDave、Cでコンパイルされた単純なクリプターなど、CastleBotで使用されているさまざまなクリプターを確認しました。
このマルウェアは、DJB2ハッシュ・アルゴリズムを使用して、実行時に必要なAPIを解決します。API呼び出しの前に、対応するDLLをロードし、事前生成されたDJB2ハッシュを介してエクスポート・アドレス・テーブル（EAT）を横断してAPI関数を検索します。エクスポートが別のDLLに転送される場合、ステージャーはDLL名を解析し、ロードし、GetProcAddressを介して関数を解決します。
実行時に、ステージャーはユーザー・エージェント「Googlebot」を使用してHTTP経由で2つのペイロードをダウンロードします。URLパスはサンプル間で類似しており、CastleBotコアコンポーネントと同じC2サーバーをアドレスしています。
ダウンロードURLの例：
http://173.44.141[.]89/service/download/data_3x.bin
http://173.44.141[.]89/service/download/data_4x.bin
どちらのペイロードも、ハードコードされたXOR文字列（この場合は、UTF-16エンコードされた「GySDoSGySDoS」）を介して復号化され、PE（CastleBotコア）とシェルコード・スタブ（CastleBot Loader）が明らかになっています。
Stagerは次に、VirtualProtectを使用して、復号化された2番目のシェルコード・ペイロードを格納しているメモリ領域のヒープ上での実行を可能にします。後者はローダーとして機能し、メモリ内で直接実行され、復号化されたPEへのポインタを引数として受け取ります。
Cast Bot Loaderはフル機能のPEローダーであり、提供されたPEの各セクションを、NtAllocateVirtualMemoryを使用して割り当てられた新しいメモリ領域にマッピングすることから始まります。さらに、必要な再配置を修正し、インポートを解決し、適切なメモリー保護オプションを設定し、既存のTLSコールバック機能を実行します。
特筆すべきは、このローダーは新しい LDR_DATA_TABLE_ENTRY構造体とそれに対応する LDR_DDAG_NODE（Windows 8 以降で拡張）もセットアップし、それらはその後、各プロセスのロードされたモジュールを含む PEB_LDR_DATA 二重リンクリストに追加されます。PEBを監視するEDRエージェントにとって、これにより、挿入されたペイロードはオペレーティング・システムによって正当に読み込まれたものであるかのように見えるようになります。
挿入されたファイルがDLLではない場合、PEBのImageBaseAddressフィールドにも、挿入されたペイロードの所在地が設定されます。
最後に、ペイロードを実行するために、CaststBot Loaderはエントリー・ポイントを実行するか、コンソール・アプリケーションに新しいコンソールを割り当てます。
上記の分析済みサンプルでは、挿入されたペイロードは、x86 CastleBotバックドア（202f6b6631ade2c41e4762e5877ce0063a3beabce0c3f8564b6499a1164c1e04）です。
CastleBotコアは、ハッシュアルゴリズムがArash Partow氏によって開発されたAPハッシュであることを除けば、ステージャーとローダーコンポーネントと同じAPI解決メカニズムを使用しています。
まず、バックドアはその構成を復号化することから始まります。バイナリー全体のほぼすべての文字列は、構成の一部を含めUTF-16として保管され、各文字列の一意の4バイトXORキーを介してインラインで復号化されます。復号化中に、以下の構成構造が作成されます。
このマルウェアは、設定の名前を使用してミューテックスを作成し、単一のインスタンスのみが実行されていることを確保しようとします。次のステップでは、URLパスのキャンペーンIDを使用して、ハードコードされたURLにHTTP GETリクエストを送信し設定を取得します。
これに応答して、CastleBotは暗号化されたデータのブロックを受け取ります。
マルウェアの初期GETリクエストを除いて、すべてのC2通信は対称ChaChaアルゴリズムによって暗号化されます。復号化後、C2プロトコルは、内部的にはコンテナと呼ばれるシリアル化されたカスタム・データ構造を使用し、さまざまな型の値をコンテナに保管できます。
シリアル化されたデータ構造のルートには、常に型がContainerFieldArrayのフィールドがあります。以下の構造は、アレイ型とブール型の設定方法をさらに定義します。
バックドアによって要求された設定を定義する復号化されたコンテナを解析する場合、データはバイト「0x0D」から始まり、ContainerFieldArray型を示します。そのバイトの後にフィールド名が続きます。フィールド名自体は2バイトの長さで、その後にUTF-16でエンコードされた名前が続きます。名前の後、配列フィールドはデータの4バイトの長さを定義し、その後にデータ自体が続きます。これもまた、型を定義する最初のバイトから始まります。
上記で分析されたサンプルで受け取られた設定は、次のように解析されます。
シリアル化されたデータ：
非シリアル化されたオブジェクト：
有効化された各設定に対して、CastleBotは以下の操作を行います。
run_as_admin： マルウェアは、「runas」動詞を使ってShellExecuteW経由で「cmd.exe /c <parent_process>」経由で親を実行し、管理者として起動します。
anti_vm：CastleBotは0x40000000リーフのcpuid命令を使ってハイパーバイザー環境の検知を試みます。VMwareまたはParallelsのいずれかが検出された場合、マルウェアは終了します。
prevent_restart：エージェントは、構成に組み込まれているミューテックス名と一致する名前で%PROGRAMDATA%に新しい隠しファイルを作成します。ファイルがすでに存在する場合、マルウェアは終了します。
Show_fake_error： マルウェアは、「システムエラー」メッセージ・ボックスを表示し、「VCRUNTIME140.dllがコンピューターに欠落しているため、プログラムを開始できません、この問題を修正するには、プログラムを再インストールしてください。」」というメッセージを表示します。
次のステップでは、CastleBotは感染したホストの情報を収集し、C2サーバーに登録し、タスクを要求します。
情報は、以下のオブジェクトにコンパイルされ、その後、シリアル化とChaCha暗号化が行われます。
ハードコードされた値は、アクセスキー（構成からのUser-Agentと同じ）、キャンペーン識別子、およびCastilltBotのビルド・バージョン（1.0）が、分析されたサンプルには見られます。
バックドアは、暗号化されたデータをHTTP POSTリクエストで送信します
応答は、CastleBotの事前構成されたタスクを担う大規模な暗号化コンテナです。
分析されたCastBotサンプルによってC2サーバーから受信されたコンテナは、復号化され、次のフィールドを含むオブジェクトにデシリアル化されます。
「tasks」フィールドは、上記で詳しく説明したようにカスタム・タイプの配列であり、それぞれがタスクを表す名前のない（名前長がゼロ）の配列を少なくとも1つ含みます。CastleBotは、複数のタスクを実行するために順番に配列を受け取ることもあります。各タスクには、タスクの実行方法を詳細に示すIDと複数のフィールドが含まれており、これらはデシリアル化中にタスク構造体にコピーされます。
各タスクの最も重要なフィールドは「launch_method」であり、CaststBotが処理するペイロードのタイプを決定します。
ローンチ・メソッド
ペイロード
実行
1
URLからダウンロードしたEXE
CreateProcessW または ShellExecuteW経由
2
URLからダウンロードしたDLL
ShellExecuteWおよびrundll.exe経由
3
URLからダウンロードしたDLL
LoadLibraryW経由
4
URLからダウンロードしたPE
新しいプロセスに注入
5
「argument」フィールドのPowerShellコマンド
ShellExecuteW経由
6
「argument」フィールドのBATコマンド
ShellExecuteW経由
他のフィールドは、タスクの実行に向けて特定のオプションを設定するために使用されることがあります。
フィールド名
説明
ID
実行の成功をC2サーバーに報告するために使用される一意のタスクID
URL
ペイロードを取得するためのURL。ペイロードは多くの場合、C2サーバーhttp://<castlebot_c2>/service/download/<payload_name>でホストされています。
install_path
プロセス・インジェクションのターゲット・パス。環境変数、または単純に「:SELF:」を含む場合があります。これはペイロードを親プロセスの複製に挿入します。
引数
install_pathのプロセスまたはPowerShell/BAT実行のためのコマンドの引数
run_as_admin
設定されている場合、ShellExecuteW経由の実行では「runas」動詞が使用されます。
startup_method
「1」に設定すると、毎回のログオンでトリガーされるスケジュールされたタスクを介してペイロードの永続性が作成されます。
is_encrypted_container
設定された場合、URLからダウンロードされたペイロードはRC4で復号化され、タスクのペイロードを取得するための別のコンテナとして解析されます。
container_encryption_key
暗号化されたコンテナで使用されるRC4キー。
auto_unpack_zip
設定されている場合、ペイロードはZIPファイルとして処理され、手動で抽出されます。
zip_executable_files
起動方法に応じて実行されるZIPアーカイブ内のターゲット・ファイルのリスト。
wow64_bypass
代わりに32ビットのシステムバイナリを起動するかどうかを指定するために、最近追加されたオプション。
CastleBotは、PEペイロードのシンプルなプロセス・インジェクションをサポートしています。まず、インストール・パスと引数フィールドに基づいて、新しい中断中のプロセスを作成します。Windows 11 24H2 以降で作業するために、マルウェア開発者は NTDLL のNtManageHotPatch関数をメモリにフックして、新しく追加されたメモリチェックを回避するようにしています。詳細についてはHasherezadeの投稿をご覧ください、これにはCastleBotが使うPOC実装も、正確に掲載されています。
プロセス・インジェクションの残りの部分は、ターゲット・プロセスにメモリーを割り当て、セクションをバッファーに書き込み、実行を再開する前にスレッド・コンテキストを変更するという、一般的なインジェクション手法に従います。
スタートアップ方法フィールドが「1」に設定されている場合、CastleBotはスケジュールされたタスクを作成することで永続性を確立します。タスクを登録するために、マルウェアは、ITaskService COMインターフェースを使用してタスク・スケジューラー・サービスに接続します。これは、新しいタスクとターゲット・ペイロードの実行アクションを作成し、これは現在のユーザーがログオンするたびにトリガーされます（TASK_TRIGGER_LOGON）。
"tasks" コンテナ内の各タスクは、指定されたフィールドに従って反復的に処理されます。タスクがエラーなく完了すると、マルウェアは次の URL に対して HTTP GET リクエストを通じて実行の成功を報告します。
X-Force® は、CastleBotのコアの亜種が更新され、新しい起動方法と、SysWOW64 フォルダ内の 32 ビットシステムバイナリを特別に起動するために使用される、"wow64_bypass" と呼ばれるオプションをサポートしていることを確認しました。
ローンチ・メソッド
ペイロード
実行
1
URLからダウンロードしたEXE
CreateProcessW または ShellExecuteW経由
2
URLからダウンロードしたDLL
ShellExecuteWおよびrundll.exe経由
3
URLからダウンロードしたDLL
ShellExecuteW および regsrv32.exe経由
4
URLからダウンロードしたDLL
LoadLibraryW経由
5
URLからダウンロードしたPE
古いメカニズムを介して新しいプロセスに注入
6
URLからダウンロードしたPE
PEローダーを介して新しいプロセスに注入
7
「argument」フィールドのPowerShellコマンド
ShellExecuteW経由
8
「argument」フィールドのBATコマンド
ShellExecuteW経由
9
URLからダウンロードしたMSI
ShellExecuteWおよびmsiexec.exe経由
追加のプロセス・インジェクションの実装（ローンチ・メソッド6）では、CastleBot Loaderコンポーネント（上記の分析セクションを参照）とPEペイロードの両方がターゲット・プロセスに書き込まれます。その後、QueueUserAPCおよびResumeThreadを使って実行をローダーに転送し、ローダーはPEペイロードを適切にメモリにロードして実行します。
この手法では、WriteProcessMemory API呼び出しの使用回数が大幅に減り、CastleBot Loaderスタブからのより完全な読み込み機能が提供されます。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
CastleBotの主な目的は、被害者マシンへの二次ペイロードのデプロイメントを可能にすることです。X-Force® は、CauseBotによって配信される複数の異なるペイロードを明らかにしました。多くの場合、1つのキャンペーンで複数のペイロードが使用されていました。各ペイロードは、コモディティ・インフォスティーラーから、ランサムウェア攻撃と関連付けられているNetSupportやWarmCookieなどのより強力なバックドアまで、その洗練度によって異なります。
ProdaftのC2パネルの分析とスクリーンショットによるとCastleBot MaaSフレームワークは、オペレーターが感染したマシンをフィルタリングし、複数のアクティブなキャンペーンを簡単に管理できるよう容易に更新できるようです。ペイロードの流動性と、オペレーターが複数のタスクやペイロードを1つのキャンペーンに追加できるため、CarayBotの感染チェーンは、従来の静的なマルウェアの段階と比較してより複雑です。
X-Force® には、ダークウェブ上でMaaSの広告が広く展開されているという証拠はなく、これはサービスが現在非公開のアフィリエイト・グループにのみ販売されている可能性があることを示しています。
マルウェアは独自のフレームワークとして特定されていませんが、NetSupportにつながるキャンペーンのさまざまな断片が、2025年6月と7月に他の研究者によって公に報告されました。
DomainToolsが観察されましたという、ClickFix技術を用いた偽のDocuSignページが悪意のあるPowerShellスクリプトを実行し、そのスクリプトがCastleBotをダウンロードしてNetSupportをデプロイします。キャンペーンIoC：
PaloAltoのUnit42が報告した、DocuSignやOktaを模倣するウェブサイトでも同様の活動があり、ClickFixを使って初期のステージャーとローダーコンポーネントを通じてCastleBotをデプロイしています。これには、「NetSupport RAT Loader」の部分的な分析が含まれており、X-Force® はこれをCastleBotのフレームワークとして特定しています。キャンペーンIoC：
CastleBotのより興味深いペイロードの1つは、WarmCookieバックドア（別名Quickbind、BadSpace）です。このマルウェアは、ランサムウェア攻撃を可能にする大規模なサイバー犯罪エコシステムの一部である可能性が高く、2024年の「Operation Endgame」で国際的な法執行機関が標的とすることに成功したマルウェアファミリーの一つです。X-Force® の観察によると、2025年には目立った活動は観測されていないものの、以前は、悪意のあるEメールキャンペーンを通じて、脅威アクターHive0137がWarmCookieを配布していました。WarmCookieはTA866/Asylum Ambuscadeオペレーションと関係していることが公になっています。
X-Force® が観察したキャンペーンは、正規のソフトウェアSSMS-20.2-enu.zip（4766f5cc6501fc40c7151a0ce1c9d2cc49fca9b0b9cab2a206dd2426947e9afe）のインストーラーを模倣した武器化されたZIPアーカイブを使用し、6月に始まりました。正規のコンポーネントの中には、Dave Loaderの亜種として特定された悪意のある実行ファイル SSMS_Windows.x64.exe（05ecf871c7382b0c74e5bac267bb5d12446f52368bb1bfe5d2a4200d0f43c1d8）が含まれており、この実行ファイルはそのリソース内に格納されたペイロードを復号化します。復号化の後, Dave LoaderはCastleBot バックドア（202f6b6631ade2c41e4762e5877ce0063a3beabce0c3f8564b6499a1164c1e04）を注入し,これが、WarmCookieペイロード（5bca7f1942e07e8c12ecd9c802ecdb96570dfaaa1f44a6753ebb9ffda0604cb4）をダウンロードおよび実行するためのタスクを受信します。
WarmCookie C2サーバーは次の場所にあります。
6月後半に発見された2番目のサンプルでは、ZscalerソフトウェアZscaler-windows-4.4.0.379-installer-x64.exe（bf21161c808ae74bf08e8d7f83334ba926ffa0bab96ccac42dde418270387890）のインストーラーを模倣した同様の実行可能ファイルを使用していました。AutoIt でコンパイルされたバイナリーは、単純なシェルコード・ローダーであり、埋め込まれたCastleBotステージラーを実行し、同じCastleBotバックドア・バイナリー（202f6b6631ade2c41e4762e5877ce0063a3beabce0c3f8564b6499a1164c1e04）をダウンロードします。
親のCastleBotサンプルのサンドボックス実行は、同じアフィリエイトがキャンペーン中に「http://107.158.128[.]105/c91252f9ab114f26.php」のC2サーバーでStealCペイロードをドロップした可能性があることを示しています。しかし、X-Force® はサンプルを取得できませんでした。
どちらのキャンペーンも、CastleBotキャンペーンID「 81a16c72f9c9f4ea94d68b609c78f72d4a8725e7b8f6949b12d8871b6c6843e3 」を使用しています。
さらに、X-Force® は、さまざまなインフォスティーラーを配信する複数のCastleBotキャンペーンを追跡しています。マルウェアはあらゆるキャンペーンの複数のダウンロード・タスクをサポートしているため、同じクライアントに複数のペイロードがデプロイメントされることになります。実行形式AMD_Chipset_DriverOnly_DCH_AMD_Z_V1.2.0.105_20238.exe（e6aab1b6a150ee3cbc721ac2575c57309f307f69cd1b478d494c25cde0baaf85）は、そのリソースから埋め込まれたCastleBotコア・ペイロード（b45cce4ede6ffb7b6f28f75a0cbb60e65592840d98dcb63155b9fa0324a88be2）を読みこみ、それを実行しますC2サーバーの設定エンドポイントは次にあります
これは、1つのC2メッセージで合計3つの別々のタスクを送信し、それぞれが異なるペイロードをデプロイすることがわかりました。
X-Force® は、さらにSecTopRAT（別名ArechClient)）HijackLoader（別名Shadowladder）、MonsterV2（別名Aurotun Stealer）をデプロイするキャンペーンを発見しました。
SecTopRATとHijackLoader:
MonsterV2：
CastleBotは、サイバー犯罪の脅威における初期感染ベクトルが変化したことを示す最新の証拠です。バックドアやMaaSフレームワークは、トロイの木馬の一部として、またはClickFix技術を通じ、偽のWebサイトを介して配布されることが増えています。CastleBotの活動の増加を観察してから数か月以内に、開発者はすでにいくつかの主要な機能を追加しており、EDRおよびネットワーク・セキュリティー・ソリューションの適応に追いつくと考えられます。現在の活動では、複数のアフィリエイトがCastleBotを利用してインフォスティーラーとバックドアの両方をデプロイしていることが示唆されており、これが大きな影響を与えるランサムウェア・インシデントにつながる可能性があります。
防御側には、このレポートで言及されている手法に警戒を続け、CastleBot感染のリスクを軽減するための適切な行動を取ることが推奨されます。
分類
インジケータータイプ
コンテキスト
http://173.44.141[.]89/service/
URL
CastleBotコアダウンロードURL
http://173.44.141[.]89/service/
URL
CastleBot Loader ダウンロードURL
http://173.44.141[.]89/service/
URL
CastleBot C2サーバー
http://mhousecreative
URL
CastleBot C2サーバー
http://80.77.23[.]48/service/
URL
CastleBot C2サーバー
http://62.60.226[.]73/service/
URL
CastleBot C2サーバー
http://107.158.128[.]45/service/
URL
CastleBot C2サーバー
http://62.60.226[.]73/service/
URL
CastleBot C2サーバー
202f6b6631ade2c41e4762e5
SHA256
CastleBotコア
a2898897d3ada2990e523b6
SHA256
ZIPアーカイブをダウンロードおよび解凍するPowerShellスクリプト
d6eea6cf20a744f3394fb0c
SHA256
暗号化されたCastleBot のステージャー
http://mhousecreative[.]com
URL
NetSupportのダウンロードURL（5月13日）
2a2cd6377ad69a298af55f2
SHA256
NetSupport のZIPペイロード
8b2ebeff16a20cfcf794e8f31
SHA256
ZIPアーカイブをダウンロードおよび解凍するPowerShellスクリプト
cbaf513e7fd4322b14adcc34
SHA256
暗号化されたCastleBot のステージャー
05ecf871c7382b0c74e5bac
SHA256
DaveLoader
http://173.44.141[.]89/service/
URL
WarmCookieのダウンロードURL（6月6日）
5bca7f1942e07e8c12ecd9c80
SHA256
WarmCookieのペイロード
170.130.165[.]112
IPv4
WarmCookie C2サーバー
bf21161c808ae74bf08e8d7f83
SHA256
CastleBotステージャー用のAutoItローダー
http://107.158.128[.]105/c9125
URL
StealC C2サーバー
e6aab1b6a150ee3cbc721ac25
SHA256
CastleBotコアが含まれるローダー
b45cce4ede6ffb7b6f28f75a0c
SHA256
CastleBotコア
https://google.herionhelpline
URL
RhadamanthysのダウンロードURL（7月10日）
03122e46a3e48141553e7567
SHA256
Rhadamanthysの第1段階ペイロード
https://google.herionhelpline
URL
RemcosのダウンロードURL（7月10日）
12de997634859d1f93273e55
SHA256
Remcosのペイロード
https://google.herionhelpline[.]com
URL
DeerStealerのダウンロードURL（7月10日）
c8f95f436c1f618a8ef5c49055
SHA256
DeerStealerのペイロード
8bf93cef46fda2bdb9d2a426
SHA256
暗号化されたCastleBot のステージャー
http://107.158.128[.]45/service
URL
HijackLoaderおよびSecTopRATのダウンロードURL（7月5日）
4834bc71fc5d3729ad5280e4
SHA256
HijackLoader とSecTopRAT ZIPのペイロード
53dddae886017fbfbb43ef2369
SHA256
暗号化されたCastleBot のステージャー
http://107.158.128[.]45/service
URL
MonsterV2のダウンロードURL（7月10日）
ab725f5ab19eec691b66c37c715
SHA256
MonsterV2のペイロード
