Von CastleLoader zu CastleRAT: TAG-150 verbessert den Betrieb mit einer mehrstufigen Infrastruktur

Executive Summary

Die Insikt Group hat mit TAG-150 einen neuen Bedrohungsakteur identifiziert, der seit mindestens März 2025 aktiv ist und sich durch eine schnelle Entwicklung, technische Raffinesse, Reaktionsfähigkeit auf öffentliche Meldungen und eine große, sich entwickelnde Infrastruktur auszeichnet. Die mit TAG-150 verknüpfte Infrastruktur umfasst sowohl Tier-1-Komponenten für das Opfer, wie z. B. IP-Adressen und Domänen, die als Command-and-Control-Server (C2) für mehrere Malware-Familien verwendet werden, als auch eine höherstufige Infrastruktur, die aus mehreren Schichten besteht. Seit seinem Auftauchen im März 2025 hat TAG-150 mehrere wahrscheinlich selbst entwickelte Malware-Familien eingesetzt, beginnend mit CastleLoader und CastleBot und zuletzt CastleRAT, einem hier zum ersten Mal dokumentierten Remote-Access-Trojaner. Darüber hinaus hat die Insikt Group mehrere Dienste identifiziert, die wahrscheinlich von TAG-150 genutzt werden, darunter Filesharing-Plattformen, Anti-Detection-Dienste und andere.

Zum Schutz vor TAG-150 sollten Sicherheitsexperten IP-Adressen und Domänen blockieren, die mit zugehörigen Loadern, Infostealern und RATs verknüpft sind, Verbindungen zu ungewöhnlichen LIS wie Pastebin kennzeichnen und möglicherweise blockieren und aktualisierte Erkennungsregeln (YARA, Snort) für aktuelle und frühere Infektionen bereitstellen. Zu den weiteren Kontrollen gehören die Implementierung von E-Mail-Filterung und die Überwachung der Datenexfiltration. Eine vollständige Liste der Indikatoren für eine Kompromittierung (Indicators of Compromise, IoCs) finden Sie im Abschnitt "Risikominderungen " und in Anhang A . Langfristig sollten Analysten das cyberkriminelle Ökosystem kontinuierlich auf neue Bedrohungen überwachen und die Kontrollen entsprechend anpassen.

Wichtige Erkenntnisse

Die Insikt Group deckte eine große Infrastruktur auf, die von dem Bedrohungsakteur betrieben wurde, der als TAG-150 verfolgt wurde und für den Einsatz von Malware wie CastleLoader bekannt ist. Die Infrastruktur folgt einem mehrstufigen Modell mit Tier-1-Servern mit Opfern sowie Tier-2-, Tier-3- und Tier-4-Infrastrukturen auf höherer Ebene.
Darüber hinaus identifizierte die Insikt Group einen neuen Remote-Access-Trojaner, der mit TAG-150 verbunden ist und den Namen CastleRAT trägt. Die Kernfunktionalität von CastleRAT ist sowohl in der Python- als auch in der C-Variante verfügbar und besteht aus dem Sammeln von Systeminformationen, dem Herunterladen und Ausführen zusätzlicher Nutzlasten sowie dem Ausführen von Befehlen über CMD und PowerShell.
Weitere Analysen bieten auch Einblicke in das breitere Tool-Set und das operative Ökosystem von TAG-150, das mehrere Filesharing-Dienste, Messaging-Plattformen und spezialisierte Dienstprogramme nutzt, einschließlich des Anti-Detection-Dienstes Kleenscan (kleenscan[.]com).

Hintergrund

TAG-150 ist die Bezeichnung der Insikt Group für den Bedrohungsakteur, der mit der Entwicklung und dem Einsatz der Malware-Familien CastleLoader, CastleBot und seit kurzem auch CastleRAT in Verbindung steht. Sie sind mindestens seit März 2025 aktiv (siehe Abbildung 1). Diese Malware-Familien werden häufig als erste Infektionsvektoren beobachtet, die eine breite Palette von sekundären Nutzlasten liefern, darunter SectopRAT, WarmCookie, HijackLoader, NetSupport RAT sowie zahlreiche Informationsdiebe wie Stealc, RedLine Stealer, Rhadamanthys Stealer, DeerStealer, MonsterV2 und andere (1, 2).

Abbildung 1: Zeitlicher Ablauf der TAG-150-Aktivitäten (Quelle: Recorded Future)

Infektionen werden am häufigsten durch "ClickFix"-Phishing-Angriffe im Cloudflare-Stil oder betrügerische GitHub-Repositories ausgelöst, die sich als legitime Anwendungen ausgeben. Die Betreiber verwenden die ClickFix-Technik, indem sie Domänen nutzen, die Softwareentwicklungsbibliotheken, Online-Meeting-Plattformen, Browser-Update-Benachrichtigungen und Dokumentenüberprüfungssysteme imitieren. Die Opfer werden dazu verleitet, bösartige PowerShell-Befehle auf ihren eigenen Geräten zu kopieren und auszuführen, wodurch die Kompromittierung ermöglicht wird. Öffentliche Berichte deuten darauf hin , dass die Gesamtzahl der Klicks und Downloads zwar begrenzt war, die Infektionsrate von 28,7 % bei Opfern, die mit bösartigen Links interagierten, jedoch die Wirksamkeit von TAG-150 unterstreicht.

Frühere öffentliche Berichte deuten darauf hin, dass TAG-150 auf einem Malware-as-a-Service (MaaS)-Modell basiert, das durch seine Verwendung bei der Bereitstellung einer Vielzahl von Nutzlasten der zweiten Stufe, die Anzahl der beobachteten CastleLoader-Admin-Panels und das Vorhandensein von Funktionen, die häufig mit MaaS-Plattformen in Verbindung gebracht werden (wie von PRODAFT festgestellt ), unterstützt wird. Die Insikt Group hat jedoch keine Werbung oder Diskussionen über solche Dienstleistungen in Untergrundforen festgestellt. Darüber hinaus deutet die Analyse von Recorded Future Network Intelligence darauf hin, dass TAG-150 in erster Linie mit der zugehörigen Infrastruktur interagiert, wobei nur eine kleine Anzahl anderer IP-Adressen, die möglicherweise mit externen Kunden oder verbundenen Unternehmen verbunden sind, mit ihm kommuniziert. Dieser Netzwerkverkehr, der möglicherweise mit externen Kunden oder verbundenen Unternehmen in Verbindung gebracht wird, ist größtenteils mit Tor-Knoten verbunden, was seine Klassifizierung erschwert.

Infrastrukturanalyse

Die Insikt Group identifizierte eine umfangreiche, mehrstufige Infrastruktur, die mit TAG-150 verbunden ist. Die Infrastruktur besteht aus Tier-1-C2-Servern, die mit Malware-Familien wie CastleLoader, SecTopRAT, WarmCookie und dem neu entdeckten CastleRAT verbunden sind, sowie Tier-2-, Tier-3- und Tier-4-Servern, von denen letztere wahrscheinlich zu Backup-Zwecken verwendet werden. Abbildung 2 bietet einen Überblick über die gesamte Infrastruktur, während in den nachfolgenden Abschnitten die einzelnen Komponenten detaillierter untersucht werden.

Abbildung 2: Mehrstufige Infrastruktur, die mit TAG-150 verbunden ist (Quelle: Recorded Future)

Mehrstufige Infrastruktur

Stufe 1

Die Tier-1-Infrastruktur umfasst zahlreiche C2-Server, die mit verschiedenen Malware-Familien verbunden sind, wie z. B. CastleLoader, CastleRAT, SecTopRAT und WarmCookie. Diese Server werden in der Regel über Tier-2-Server verwaltet, obwohl in einigen Fällen Tier-3-Server direkt mit ihnen interagieren.

CastleLoader (Englisch)

Die Insikt Group identifizierte eine beträchtliche Anzahl von CastleLoader C2-Servern, die mit TAG-150 in Verbindung stehen, wie in Anhang B beschrieben. Die IP-Adressen dieser Server hosten häufig Domains, die über NameCheap, Inc. oder TUCOWS, INC. registriert wurden, obwohl die Domains keiner einheitlichen Namenskonvention entsprechen. Während die CastleLoader C2-Infrastruktur über verschiedene autonome Systemnummern (ASNs) hinweg beobachtet wurde, ist ein beträchtlicher Teil an die Hosting-Provider Serva GmbH, FEMO IT SOLUTIONS LIMITED und Eonix Corporation gebunden. FEMO IT SOLUTIONS LIMITED ist als Threat Activity Enabler (TAE) bewertet und wird von der Insikt Group aktiv verfolgt.

Unter den analysierten Domänen ist panelv1[.]hostingzealoft[.]Heute sticht hervor, da es die legitime Domain eines bekannten Hosting-Anbieters, hostingzealot[.]com, , in dem auch die IP-Adresse gehostet wird, die dieser Domain zugeordnet ist. Der Grund für diese Namenswahl bleibt unklar. Darüber hinaus scheint TAG-150 keiner konsistenten Namenskonvention oder einem thematischen Muster in den anderen Bereichen zu folgen.

CastleLoader Admin-Bereich

Die meisten von der Insikt Group beobachteten CastleLoader C2-Server bieten sowohl C2-Funktionalität, hauptsächlich auf Port 80, als auch ein Admin-Panel, das in der Regel auf Port 5050 und gelegentlich auf Port 9999 gehostet wird. Abbildung 3 zeigt ein Beispiel für ein CastleLoader-Admin-Panel.

Figur 3: CastleLoader C2 Admin-Panel (Quelle: URLScan)

CastleRAT

Neben CastleLoader und CastleBot, über die bereits berichtet wurde, hat die Insikt Group eine neue Malware-Familie namens CastleRAT identifiziert, die im Abschnitt CastleRAT näher erläutert wird. Die Insikt Group entdeckte sowohl die C- als auch die Python-Variante von CastleRAT. Anhang B listet die CastleRAT C2-Server auf, die in der Regel an den Ports 80, 443, 7777 und gelegentlich an anderen Ports verfügbar gemacht werden. CastleRAT C2-Server wurden über mehrere ASNs hinweg beobachtet, wobei eine besonders bemerkenswerte Instanz auf einer Google Cloud-IP-Adresse gehostet wird.

SectopRAT

Die Insikt Group identifizierte mindestens sieben SectopRAT C2-Server, die mit TAG-150 in Verbindung stehen, von denen sechs über die höherstufige Infrastruktur von TAG-150 zugänglich waren (siehe Anhang B). Die primären Kanäle für die C2-Kommunikation sind die TCP-Ports 15647, 15747, 15847, 15947, 14367 oder 9000. In Anhang B stellen das erste und das letzte gesehene Datum die frühesten und letzten Fälle dar, in denen diese Server bei der Kommunikation mit der übergeordneten Infrastruktur von TAG-150 beobachtet wurden. Die IP-Adresse 92[.]255[.]57[.]32 Es wurde nicht beobachtet, dass sie mit der übergeordneten Infrastruktur von TAG-150 kommuniziert; Es wird jedoch davon ausgegangen, dass es aufgrund der beobachteten Überlappungen zwischen den Opfern mit TAG-150 assoziiert ist.

Während der Analyse identifizierte die Insikt Group auch die IP-Adresse 91[.]210[.]164[.]26, die möglicherweise mit TAG-150 in Verbindung steht, aber nicht mit der übergeordneten Infrastruktur von TAG-150 kommunizieren konnte. Insbesondere die IP-Adresse 176[.]126[.]163[.]56 Hostet ein selbstsigniertes TLS-Zertifikat (Transport Layer Security) mit dem allgemeinen Namen krona186380. Während der Analyse identifizierte die Insikt Group auch die IP-Adresse 91[.]210[.]164[.]26 innerhalb derselben ASN, die ein ähnliches selbstsigniertes TLS-Zertifikat mit dem allgemeinen Namen krona184679 präsentierte. Obwohl keine Stichproben oder übergeordnete Infrastrukturkommunikation mit dieser IP-Adresse beobachtet wurden, geht die Insikt Group davon aus, dass sie aufgrund dieser Ähnlichkeiten mit TAG-150 in Verbindung gebracht werden könnte.

Während der Analyse identifizierte die Insikt Group auch die IP-Adresse 91[.]210[.]164[.]26, die möglicherweise mit TAG-150 in Verbindung steht, aber nicht mit der übergeordneten Infrastruktur von TAG-150 kommunizieren konnte.

WarmCookie

Die Insikt Group hat mindestens einen WarmCookie C2-Server identifiziert, der mit TAG-150 in Verbindung steht, wie in Anhang B beschrieben. Dieselbe IP-Adresse war zuvor im Zusammenhang mit CastleLoader gemeldet worden. Die Kampagnen-IDs, die mit den beobachteten WarmCookie-Stichproben verknüpft waren, waren traffic1 und .traffic2 Der SHA256-Hash der Kampagnen-ID wird verwendet, um den CastleLoader GET-Anforderungsendpunkt zu erstellen, von dem vermutet wird, dass er die Voraussetzung für das Abrufen der korrekten Folgenutzlast(en) ist.

Stufe 2

Die Insikt Group identifizierte Tier-2-VPS-Server, die wahrscheinlich als Vermittler zwischen den Opfer-zugewandten Tier-1-Servern und der Tier-3-Infrastruktur fungieren. Insbesondere wurde beobachtet, dass TAG-150 über den RDP-Port 3389 auf Tier-2-Server zugreift, bevor es anschließend über eine Vielzahl anderer Ports eine Verbindung zu Tier-1-Servern herstellt. Es wurden unter anderem Verbindungen zu CastleLoader, CastleRAT, SectopRAT und WarmCookie beobachtet. Bemerkenswert ist, dass TAG-150 in mehreren Fällen Tier 2 vollständig umging und eine direkte Verbindung von der Tier-3-Schicht zu Tier-1-Servern herstellte. Die Insikt Group bewertet dieses Verhalten entweder als eine Verschiebung der Betriebsabläufe durch dieselben Bediener, die mit dem TAG-150 verbunden sind, oder als das Ergebnis des Einsatzes alternativer Methoden durch verschiedene Betreiber.

Stufe 3

Die Tier-3-Infrastruktur des TAG-150 scheint in zwei Teile aufgeteilt zu sein. Auf der einen Seite identifizierte die Insikt Group eine Reihe von VPS-Servern, die alle dasselbe TLS-Zertifikat verwenden, wobei ein Server aufgrund des starken Datenverkehrs und der beobachteten Verbindungen zu dem, was als Tier 4 eingestuft wird, das im nächsten Abschnitt besprochen wird, als wahrscheinlicher Hub hervorsticht.

Unabhängig davon identifizierte die Insikt Group eine russische private IP-Adresse, die als Tier 3 eingestuft wurde und bei der Kommunikation sowohl mit Tier-2- als auch mit Tier-1-Servern beobachtet wurde. Die russische IP-Adresse wird von AS35807 (AS-SKYNET-SPB) bekannt gegeben. Diese Trennung zwischen der VPS-Infrastruktur und der IP-Adresse für Privathaushalte könnte auf das Vorhandensein eines zweiten Betreibers hinweisen, der mit TAG-150 verbunden ist. Bemerkenswert ist, dass beobachtet wurde, dass die russische IP-Adresse regelmäßig über den UDP-Port (User Datagram Protocol) von 33445 mit Tox-Servern kommuniziert, was darauf hindeutet, dass TAG-150 Tox für seine interne Kommunikation nutzt.

Stufe 4

Es wurde beobachtet, dass der primäre Tier-3-Server über eine persistente UDP-Sitzung, die sich über mehrere Wochen erstreckt, mit einem anderen Server kommuniziert, den die Insikt Group als potenziellen Backup-Server einstuft. Dieser Server wird als Tier-4-Server nachverfolgt. Der Tier-4-Server ist mit einer von AS204601 angekündigten IP-Adresse (ON-LINE-DATA) verknüpft, und in mindestens einem Fall wurde beobachtet, dass er direkt mit einem CastleLoader-Panel kommunizierte, eine Aktivität, die als betriebliche Sicherheitslücke bewertet wurde.

Darüber hinaus identifizierte die Insikt Group eine weitere Gruppe von Servern, die wahrscheinlich Teil der Stufe 4 sind.

Von TAG-150 verwendete Dienste

Durch die Überwachung der Aktivitäten von TAG-150 unter Verwendung von Recorded Future Network Intelligence und anderen Quellen hat die Insikt Group festgestellt, dass TAG-150 höchstwahrscheinlich eine Reihe von betrieblichen Ressourcen nutzt. Dazu gehören das Oxen-Netzwerk (ehemals Lokinet), das Infrastruktur für datenschutzorientierte Anwendungen wie sichere Messaging-Plattformen bereitstellt; Kleenscan (kleenscan[.]com), eine Alternative zum kürzlich abgebauten AVCheck; Der Filesharing-Dienst temp[.]sch; Die Kryptowährungsbörse simpleswap[.]io; Der Datei-Hosting-Dienst mega[.]Neuseeland; und zusätzlich das Exploit Forum, das die Gruppe wahrscheinlich ebenfalls nutzen wird. Die Insikt Group hat zuvor festgestellt , dass nach der Unterbrechung von AVCheck andere Cyberkriminelle, einschließlich Lumma-Tochtergesellschaften, begonnen haben, Kleenscan zu nutzen. Im Juni 2025 identifizierte die Insikt Group TAG-150, der kurzzeitig mit einem Matanbuchus Loader-Panel interagierte, das auf 185[.]39[.]19[.]164.

Infrastruktur für die Nutzlastbereitstellung

Die Insikt Group entdeckte mehrere Payload-Delivery-Domains, die mit CastleLoader in Verbindung stehen, von denen die meisten hinter Cloudflare gehostet werden, mit einer einzigen Ausnahme. Alle zugehörigen Indikatoren sind in Anhang B aufgeführt.

Potenzielle Play Ransomware-Aktivitäten

Während der Untersuchung der TAG-150-Aktivität identifizierte die Insikt Group eine französische ISP-IP, die sowohl mit dem CastleLoader-Panel unter der IP-Adresse 107[.]158[.]128[.]45 und mit einem WarmCookie C2 Server 192[.]36[.]57[.]164. Bemerkenswert ist, dass dieser WarmCookie C2-Server bei der Netzwerkexfiltration beobachtet wurde, bei der eine IP-Adresse mit einem bekannten Play Ransomware-Opfer verknüpft war. Da der Zeitpunkt der Exfiltration mit der Play Ransomware-Kompromittierung der Opferorganisation zusammenfällt, geht die Insikt Group davon aus, dass es möglich ist, dass Play Ransomware oder eines ihrer verbundenen Unternehmen CastleLoader verwendet hat.

Während die Insikt Group nicht die vollständige Infektionskette zwischen den spezifischen WarmCookie- und CastleLoader-Instanzen fand, wurde eine WarmCookie-Stichprobe mit demselben Mutex identifiziert, die über CastleLoader bereitgestellt worden war. Dieser Befund erhöht die Wahrscheinlichkeit, dass die WarmCookie-Stichprobe, die mit 192[.]36[.]57[.]Nr. 164 wurde auch über CastleLoader bereitgestellt und kann daher direkt mit 107[.]158[.]128[.]45. Urheberrecht

Bisher hat jedoch keine öffentliche Berichterstattung Play Ransomware mit WarmCookie oder CastleLoader in Verbindung gebracht. Es bleibt daher möglich, dass das Opfer von mehreren Bedrohungsakteuren ins Visier genommen wurde und dass die WarmCookie-Infektion in keinem Zusammenhang mit dem Play Ransomware-Vorfall stand.

CastleRAT

CastleRAT ist eine RAT, die C- und Python-Varianten umfasst, die die folgenden Gemeinsamkeiten aufweisen:

Benutzerdefiniertes Binärprotokoll mit RC4-Verschlüsselung mit fest codierten 16-Byte-Schlüsseln
Fragt die Geolocation-API ip-api[.]com , um Standort- und andere Informationen über die öffentliche IP-Adresse des infizierten Hosts zu erhalten
Download und Ausführung von ausführbaren Dateien
Remote-Shell

Die C-Variante von CastleRAT enthält auch fortschrittlichere Stealing-Funktionen wie Keylogging und Screen Capturing. Beide Varianten befinden sich in ständiger Entwicklung. Zum Beispiel ist C2 Deaddrops, die auf Steam-Community-Seiten gehostet werden, eine neue Entwicklung, die erstmals Ende August 2025 beobachtet wurde (siehe Abbildung 4).

Abbildung 4: CastleRAT des TAG-150 nutzt Steam Community zur Auflösung von Dead Drops (Quelle: Recorded Future)

Obwohl CastleRAT bisher nur zusammen mit CastleLoader beobachtet wurde und seine Infrastruktur klare Verbindungen zu TAG-150 aufweist, bedeutet dies nicht unbedingt, dass CastleRAT von denselben Akteuren hinter CastleLoader entwickelt wurde. Es bleibt möglich, dass die Malware an anderer Stelle erworben wurde.

CastleRAT Python Variante

CastleRAT ist eine leichtgewichtige RAT, die von der Insikt Group erstmals Anfang August 2025 als CastleLoader-Nutzlast identifiziert wurde. Bemerkenswert ist, dass diese Python-Variante der Malware Ende August unter dem Namen PyNightshade öffentlich erwähnt wurde, obwohl sie ansonsten undokumentiert blieb.

Die C-Variante von CastleRAT muss noch öffentlich identifiziert werden, wird aber durch zahlreiche generische Antiviren-Erkennungen gekennzeichnet, die nicht spezifisch mit einer Malware-Familie verknüpft sind. Es ist daher plausibel, dass die Python-Variante von CastleRAT mit Blick auf Stealth entwickelt wurde, da sie derzeit keine oder nur sehr wenige Antiviren-Erkennungen aufweist. Die folgenden Funktionen wurden implementiert und sind unverändert geblieben, seit die CastleRAT-Python-Variante Ende Juli 2025 zum ersten Mal beobachtet wurde:

Abrufen und Melden von Länderinformationen der öffentlichen IP und Systeminformationen
Generieren Sie alle drei Sekunden Ping-/Keep-Alive-Nachrichten
Herunterladen und Ausführen von ausführbaren Dateien (EXEs) oder Dynamic Link Libraries (DLLs)
Ausführen und Melden der Ausgabe von cmd-Shell-Befehlen
Ausführen und Melden der Ausgabe von PowerShell-Befehlen
Selbstlöschung

Die Länderinformationen werden vom bekannten IP-Geolokalisierungsdienst ip-api[.]com. Der Status und das Land des Feldes werden abgefragt (siehe Abbildung 5).

Abbildung 5: CastleRAT Python-Variante: Anfrage und Antwort an den Geolocation-API-Dienst ip-api[.]com (Quelle: Recorded Future)

Die in Abbildung 6 gezeigte Recorded Future Malware Intelligence-Abfrage kann verwendet werden, um nach CastleRAT-Python-Varianten zu suchen.

dynamic.network.http.sequence.request.url contains "/line/?fields=16385"

Abbildung 6: Abfrage von Recorded Future Malware Intelligence zur Suche nach der Python-Variante CastleRAT (Quelle: Recorded Future)

Die Insikt Group geht davon aus, dass sich die Python-Variante von CastleRAT weiterhin in der aktiven Entwicklung befindet. Mit den jüngsten Updates wurden Funktionen wie die Kapselung des Binärprotokolls in WebSockets und die Nutzung von Steam-Community-Seiten für C2-Dead-Drops eingeführt.

CastleRAT C Variante

Die C-Variante von CastleRAT enthält deutlich mehr Funktionen als die Python-Variante, was wahrscheinlich die Anfälligkeit für die Erkennung durch generische Antivirenlösungen erhöht:

Abrufen und Melden des Landes und anderer Informationen über das öffentliche geistige Eigentum und Systeminformationen
Generieren Sie alle sechs Sekunden Ping-/Keep-Alive-Nachrichten
Keylogger
Klipper
Bildschirmaufnahme
Datei-Upload
Dateidownload
Suchen und Beenden von Browserprozessen
Ausführen und Melden der Ausgabe von Shell-Befehlen
Ausführen und Melden der Ausgabe von PowerShell-Befehlen
Registrieren und Aufheben der Registrierung der Persistenz
Ausführen von Dateien per Injection oder Masquerading als Browser
C2 Deaddrops über die Steam-Community-Seiten

Wie bei der Python-Variante fragt die C-Variante den weit verbreiteten IP-Geolokalisierungsdienst ip-api[.]com , um Informationen basierend auf der öffentlichen IP-Adresse des infizierten Hosts zu sammeln. Der Umfang der Daten wurde jedoch um die Stadt, die Postleitzahl und Indikatoren erweitert, die angeben, ob die IP mit einem VPN-, Proxy- oder Tor-Knoten verknüpft ist (siehe Abbildung 7).

Abbildung 7: CastleRAT C-Variantenanfrage und -antwort an den Geolocation-API-Dienst ip-api[.]com (Quelle: Recorded Future)

Neuere Versionen der C-Variante von CastleRAT haben die Abfrage der Stadt und der Postleitzahl aus der ip-api[] entfernt.COM Ausgabe (siehe Abbildung 8).

Abbildung 8: CastleRAT C-Variantenanfrage und Antwort an den Geolocation API-Dienst ip-api (Quelle: Recorded Future)

Die in Abbildung 9 gezeigte Recorded Future Malware Intelligence-Abfrage kann verwendet werden, um nach CastleRAT C-Varianten zu suchen.

Abbildung 9: Abfrage von Recorded Future Malware Intelligence zur Suche nach der CastleRAT C-Variante (Quelle: Recorded Future)

Die CastleRAT C-Variante verwendet die folgenden eindeutigen Mutex-Objekte für die Synchronisation:

Thickwick3
fsAiodwsfSAFuiefS
BabaiMazai
sPEJIOGDsionsgfdUewg
KolokolBozhii
FkgfIJGgJgdiJGDGHDjMGjia
sdgiregdsssaFWIFS
fsAiodwsfSAFuiefS2
GoldVekRogerS
XmGetzKAM8Bw8NCBTUYo5e

Es ist ungewiss, ob die Python-Variante aktualisiert wird, um die datenstehlenden Funktionen der C-Variante zu integrieren, und welche zusätzlichen Funktionen die Entwickler zur Umgehung der Erkennung einführen werden.

Viktimologie

Die Insikt Group identifizierte zahlreiche mutmaßliche IP-Adressen von Opfern, die mit der Tier-1-C2-Infrastruktur kommunizieren, die mit den verschiedenen Malware-Familien von TAG-150 in Verbindung steht. Während die meisten dieser IP-Adressen in den Vereinigten Staaten geolokalisiert zu sein scheinen, konnte nur eine begrenzte Anzahl tatsächlicher Opfer positiv identifiziert werden. Die meisten Opfer bleiben unidentifiziert und können nicht bestätigt werden; Die Insikt Group schätzt es jedoch als wahrscheinlich ein, dass es sich zumindest bei einigen von ihnen um Privatpersonen handelt, die sich infiziert haben.

Gegenmaßnahmen

Nutzen Sie die IoCs in Anhang A , um potenzielle vergangene oder laufende Infektionen zu untersuchen, sowohl erfolgreiche als auch versuchte, und verwenden Sie die Recorded Future Intelligence Cloud, um zukünftige IoCs im Zusammenhang mit TAG-150 und anderen Bedrohungsakteuren zu überwachen.
Nutzen Sie die in den Anhängen C, D und E bereitgestellten Sigma-, YARA- und Snort-Regeln in Ihren SIEM- oder EDR-Tools (Endpoint Detection and Response), um das Vorhandensein oder die Ausführung von CastleLoader und CastleRAT zu erkennen. Verwenden Sie darüber hinaus andere Erkennungsregeln, die in der Recorded Future Intelligence Cloud verfügbar sind.
Verwenden Sie Recorded Future Network Intelligence, um Fälle von Datenexfiltration aus Ihrer Unternehmensinfrastruktur in bekannte bösartige Infrastrukturen zu erkennen. Dies kann erreicht werden, indem Sie spezifische Abfragen verwenden und die Ergebnisse basierend auf Ihren Assets filtern.
Nutzen Sie die Recorded Future Intelligence Cloud, um TAG-150, andere Bedrohungsakteure und das breitere cyberkriminelle Ökosystem zu überwachen und so Einblick in die neuesten TTPs, bevorzugten Tools und Dienste (z. B. spezifische TAEs, die von Bedrohungsakteuren verwendet werden) und aufkommende Entwicklungen zu gewährleisten.

Ausblick

Die Insikt Group geht davon aus, dass TAG-150 seine Werkzeuge in rasantem Tempo weiterentwickeln wird, wobei der Schwerpunkt auf Tarnung und Ausweichmanövern liegen wird. TAG-150 hat bereits technische Raffinesse und Anpassungsfähigkeit bewiesen, und die Insikt Group geht davon aus, dass sie weitere Experimente mit Anti-Detection-Diensten und -Techniken durchführen wird, um widerstandsfähig gegen Abwehrmaßnahmen zu bleiben.

Angesichts der Tatsache, dass TAG-150 in der Vergangenheit mehrere wahrscheinlich selbst entwickelte Malware-Familien eingesetzt hat, darunter CastleLoader, CastleBot und jetzt CastleRAT, ist es sehr wahrscheinlich, dass TAG-150 in naher Zukunft weitere Malware entwickeln und veröffentlichen wird. Die Insikt Group schätzt auch ein, dass es sehr wahrscheinlich ist, dass die Gruppe ihre Vertriebsbemühungen ausweiten wird, sei es, um die Reichweite der Opfer zu erhöhen oder möglicherweise in einer MaaS-Kapazität zu arbeiten.

Die Insikt Group wird die Infrastruktur, die Tool-Entwicklung und die Aktivitäten von TAG-150 in Untergrundforen weiterhin genau beobachten, um aufkommende Bedrohungen zu verfolgen und die Entwicklung der Gruppe zu bewerten.

Anhang A: Indikatoren für Kompromittierung (IoCs)

CastleLoader C2 IP Addresses:
62[.]60[.]226[.]73
62[.]60[.]226[.]211
62[.]60[.]226[.]254
79[.]132[.]130[.]142
80[.]77[.]23[.]48
85[.]158[.]108[.]135
94[.]159[.]113[.]123
107[.]158[.]128[.]45
107[.]158[.]128[.]90
170[.]130[.]165[.]37
173[.]44[.]141[.]89
173[.]232[.]146[.]90
185[.]212[.]47[.]84
185[.]219[.]220[.]128
213[.]209[.]150[.]229

CastleLoader C2 Domains:
cisco-webexxapp[.]xyz
estetic-online[.]com
higueruela[.]net
lekuvam[.]com
mhousecreative[.]com
notionus[.]org
oneyogasite[.]com
panelv1[.]hostingzealoft[.]today
polarcompany[.]org
rinasalleh[.]com
sftp[.]sagargolf[.]com
vilaoaza[.]com

CastleRAT Python and C C2 IP Addresses:
34[.]72[.]90[.]40
45[.]61[.]136[.]81
91[.]212[.]166[.]17
94[.]141[.]122[.]164
104[.]225[.]129[.]171
144[.]208[.]126[.]50
180[.]178[.]189[.]17
185[.]149[.]146[.]118
185[.]196[.]10[.]8
195[.]85[.]115[.]44
195[.]201[.]108[.]189

CastleRAT C2 Deaddrops:
steamcommunity[.]com/id/tfy5d6gohu8tgy687r7
steamcommunity[.]com/id/krouvhsin34287f7h3
steamcommunity[.]com/id/huilo
steamcommunity[.]com/id/desdsfds34324y3g

SectopRAT C2 IP Addresses:
45[.]141[.]84[.]229
83[.]222[.]191[.]98
92[.]255[.]57[.]32
176[.]126[.]163[.]56
185[.]93[.]89[.]56
194[.]26[.]29[.]44
217[.]12[.]206[.]21

WarmCookie C2 IP Address:
170[.]130[.]165[.]112

Possibly Linked WarmCookie C2 IP Address:
192[.]36[.]57[.]164

Payload Servers:
45[.]32[.]69[.]11
138[.]68[.]250[.]216

CastleLoader Samples (SHA256):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CastleRAT Python Variant Samples (SHA256):
94dc0f696a46f3c225b0aa741fbd3b8997a92126d66d7bc7c9dd8097af0de52a
401b0eb132cacd6e32d4b4af627370288f9f3e59af36ccfd43a501564937f93c
53775af67e9df206ed3f9c0a3756dbbc4968a77b1df164e9baddb51e61ac82df
58d54e2454be3e4e9a8ea86a3f299a7a60529bc12d28394c5bdf8f858400ff7b
6d62210addb8268d0bd3e6ef0400d54c84e550ccad49f5867fdc51edc0c1db2c
282fa3476294e2b57aa9a8ab4bc1cc00f334197298e4afb2aae812b77e755207
a2feb262a667de704e5e08a8a705c69bbcc806e0d52f0f8e3f081a6aa6c8d7b4
85b4d29f2830a3be3a0f51fbe358bea1a35d2a8aaa6a24f5cc1f2e5d2769716e
4ef63fa536134ad296e83e37f9d323beb45087f7d306debdc3e096fed8357395

CastleRAT C Variant Samples (SHA256):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SectopRAT Samples (SHA256):
ae78caabec6a4241c64357ca5ca05de2e181fe253963de528807bf051fc3608e
Af88dc52b37022583a6687214bb5e345b606c6a0a3f37cfe41576d89c3d8e65d

WarmCookie Samples (SHA256):
e62684a48067d8bf5f219f007bb5908301ca3303b9c57a2f0c3212cf0eb8d7b7

Pastebin URLs:
https://pastebin[.]com/raw/2wW91TbyCastleLoader

C2 IP Addresses:
62[.]60[.]226[.]73
62[.]60[.]226[.]211
62[.]60[.]226[.]254
79[.]132[.]130[.]142
80[.]77[.]23[.]48
85[.]158[.]108[.]135
94[.]159[.]113[.]123
107[.]158[.]128[.]45
107[.]158[.]128[.]90
170[.]130[.]165[.]37
173[.]44[.]141[.]89
173[.]232[.]146[.]90
185[.]212[.]47[.]84
185[.]219[.]220[.]128
213[.]209[.]150[.]229

CastleLoader C2 Domains:
cisco-webexxapp[.]xyz
estetic-online[.]com
higueruela[.]net
lekuvam[.]com
mhousecreative[.]com
notionus[.]org
oneyogasite[.]com
panelv1[.]hostingzealoft[.]today
polarcompany[.]org
rinasalleh[.]com
sftp[.]sagargolf[.]com
vilaoaza[.]com

CastleRAT Python and C C2 IP Addresses:
34[.]72[.]90[.]40
91[.]212[.]166[.]17
94[.]141[.]122[.]164
104[.]225[.]129[.]171
144[.]208[.]126[.]50
180[.]178[.]189[.]17
185[.]149[.]146[.]118
195[.]85[.]115[.]44
195[.]201[.]108[.]189

CastleRAT C2 Deaddrops:
steamcommunicty[.]com/id/tfy5d6gohu8tgy687r7
steamcommunity[.]com/id/krouvhsin34287f7h3
steamcommunity[.]com/id/huilo
steamcommunity[.]com/id/desdsfds34324y3g

SectopRAT C2 IP Addresses:
45[.]141[.]84[.]229
83[.]222[.]191[.]98
92[.]255[.]57[.]32
176[.]126[.]163[.]56
185[.]93[.]89[.]56
194[.]26[.]29[.]44
217[.]12[.]206[.]21

WarmCookie C2 IP Address:
170[.]130[.]165[.]112

Possibly Linked WarmCookie C2 IP Address:
192[.]36[.]57[.]164

CastleLoader Samples (SHA256):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CastleRAT Python Variant Samples (SHA256):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CastleRAT C Variant Samples (SHA256):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SectopRAT Samples (SHA256):
ae78caabec6a4241c64357ca5ca05de2e181fe253963de528807bf051fc3608e
Af88dc52b37022583a6687214bb5e345b606c6a0a3f37cfe41576d89c3d8e65d

WarmCookie-Beispiele (SHA256):
e62684a48067d8bf5f219f007bb5908301ca3303b9c57a2f0c3212cf0eb8d7b7

Pastebin-URLs:
https://pastebin[.]com/raw/2wW91Tby

Anhang B: C2-Server

CastleLoader C2 Server

Domain

IP-Adresse

ASN

Zum ersten Mal gesehen

Zuletzt gesehen

sftp[.]sagargolf[.]com

62[.]60[.]226[.]73

AS214351 - FEMO IT SOLUTIONS LIMITED

2025-06-22

2025-08-20

sftp[.]sagargolf[.]com

62[.]60[.]226[.]211

AS214351 - FEMO IT SOLUTIONS LIMITED

2025-06-22

2025-08-20

N/A

62[.]60[.]226[.]254

AS214351 - FEMO IT SOLUTIONS LIMITED

2025-05-28

2025-06-15

higueruela[.]net

79[.]132[.]130[.]142

AS39378 - servinga GmbH

2025-07-23

2025-08-08

notionus[.]org

80[.]77[.]23[.]48

AS212228 - servinga GmbH

2025-05-09

2025-06-08

panelv1[.]hostingzealoft[.]today

85[.]158[.]108[.]135

AS59711 - HZ Hosting GmbH

2025-06-14

2025-08-26

cisco-webexxapp[.]xyz

94[.]159[.]113[.]123

AS216334 - Neue Hosting Technologies LLC

2025-04-26

2025-07-07

rinasalleh[.]com

107[.]158[.]128[.]45

AS62904 - Eonix Corporation

2025-06-30

2025-07-29

oneyogasite[.]COM

107[.]158[.]128[.]90

AS62904 - Eonix Corporation

2025-07-24

2025-08-20

mhousecreative[.]COM

170[.]130[.]165[.]37

AS62904 - Eonix Corporation

2025-04-29

2025-05-29

polarcompany[.]Org

173[.]44[.]141[.]89

AS62904 - Eonix Corporation

2025-05-24

2025-06-19

estetic-online[.]com

173[.]232[.]146[.]90

AS62904 - Eonix Corporation

2025-07-24

2025-08-21

lekuvam[.]com

185[.]212[.]47[.]84

AS39378 - servinga GmbH

2025-06-27

2025-07-28

vilaoaza[.]com

185[.]219[.]220[.]128

AS39378 - servinga GmbH

2025-06-26

2025-08-08

sftp[.]sagargolf[.]com

213[.]209[.]150[.]229

AS214943 -

Virtualine-Technologien

2025-06-24

2025-07-23

(Quelle: Recorded Future)

CastleRAT C2 Server

IP-Adresse

Hafen

ASN

Variante

RC4 Key

104[.]225[.]129[.]171

443

AS395092 -

Schock Hosting LLC

NanutschkaUpjatschka

91[.]212[.]166[.]17

33334

AS198953 -

Proton66 GmbH

N/A

94[.]141[.]122[.]164

33337, 33336

AS215826 -

Partner Hosting GmbH

NanutschkaUpjatschka

144[.]208[.]126[.]50

443

AS395092 -

Schock Hosting LLC

NanutschkaUpjatschka

34[.]72[.]90[.]40

443

AS396982 -

Google LLC

NanutschkaUpjatschka

185[.]149[.]146[.]118

33336

AS212701 - Hostinux Limited

ALB9SxZBzCqwPFnD

180[.]178[.]189[.]17

443, 33338

AS214351 - FEMO IT SOLUTIONS LIMITED

NanutschkaUpjatschka
GerbertGerbertSS

195[.]85[.]115[.]44

443

AS399629 - BL Networks

NanutschkaUpjatschka

195[.]201[.]108[.]189

33336

AS24940 - Hetzner Online GmbH

NM8KXjTTaxWJRgmL

45[.]61[.]136[.]81

AS399629 - BL Networks

Python und C

AeSIekwmgdISa3sa

(Python)

KeyKeyKluchCCCCp (C-Version)

45[.]11[.]180[.]174

80, 6666

AS212228 - servinga GmbH

Python

AeSIekwmgdISa3sa

102[.]135[.]95[.]102

7777

AS197450 - SUNUCUN

RandOmKey322666B

87[.]120[.]93[.]167

7777

AS215730 - H2NEXUS GmbH

RandOmKey322666B

45[.]144[.]53[.]62

7777

AS215730 - H2NEXUS GmbH

RandOmKey322666B

185[.]125[.]50[.]125

7777

AS215730 - H2NEXUS GmbH

RandOmKey322666B

77[.]90[.]153[.]43

7777

AS214943 - Virtualine Technologies

RandOmKey322666B

185[.]208[.]158[.]250

7777

AS42624 - Global-Data System IT Konzern

RandOmKey322666B

79[.]132[.]131[.]200

7777

AS39378 -

servinga GmbH

RandOmKey322666B

45[.]11[.]180[.]198

7777

AS212228 -

servinga GmbH

RandOmKey322666B

185[.]196[.]9[.]222

7777

AS42624 - Global-Data System IT Konzern

RandOmKey322666B

77[.]238[.]241[.]203

7777

AS216071 - VDSINA

NanutschkaUpjatschka

5[.]35[.]44[.]176

443

AS216071 - VDSINA

NanutschkaUpjatschka

85[.]192[.]49[.]6

7777

AS215730 - H2NEXUS GmbH

RandOmKey322666B

185[.]196[.]9[.]80

7777

AS42624 - Global-Data System IT Konzern

KeyKeyKluchCCCCp

185[.]196[.]10[.]8

7777

AS42624 - Global-Data System IT Konzern

RandOmKey322666B

85[.]208[.]84[.]115

7777

AS211659 -

Oniks LLC

RandOmKey322666B

91[.]202[.]233[.]250

AS200593 - PROSPERO OOO

Python

BeshBarMakwwwRTY

178[.]17[.]57[.]102

AS8661 - Telekomi i Kosoves SH.A.

KeyKeyKluchCCCCp

(Quelle: Recorded Future)

SectopRAT C2 Server

IP-Adresse

ASN

Zum ersten Mal gesehen

Zuletzt gesehen

45[.]141[.]84[.]229

AS206728
Media Land LLC

2025-06-16

2025-07-03

83[.]222[.]191[.]98

AS204428
SS-Netz

2025-07-01

2025-07-22

92[.]255[.]57[.]32

AS57523

Chang Way Technologies Co. Limited

2025-02-06

2025-05-10

176[.]126[.]163[.]56

AS204957
GREEN FLOID GMBH

2025-06-11

2025-06-12

185[.]93[.]89[.]56

AS213790
Begrenztes Netzwerk LTD

2025-08-09

2025-08-14

194[.]26[.]29[.]44

AS206728
Media Land LLC

2025-05-13

2025-06-13

(Quelle: Recorded Future)

WarmCookie C2 Server

IP-Adresse

ASN

Zum ersten Mal gesehen

Zuletzt gesehen

170[.]130[.]165[.]112

AS62904 - Eonix Corporation

2025-06-05

2025-07-06

(Quelle: Recorded Future)

TAG-150 Payload C2 Server

Domain

IP-Adresse

ASN

Zum ersten Mal gesehen

Zuletzt gesehen

bytehub[.]asia

Cloudflare

AS13335

2025-06-07

2025-08-19

teamsi[.]Org

Cloudflare

AS13335

2025-06-27

2025-08-05

teamsio[.]COM

Cloudflare

AS13335

2025-08-08

2025-08-19

teamsoftdigital[.]com

138[.]68[.]250[.]216

AS14061 -

Digitaler Ozean LLC

2025-08-04

2025-08-08

programsbookss[.]COM

45[.]32[.]69[.]11

AS20473 - Vultr Holdings, LLC

2025-07-02

2025-08-17

(Quelle: Recorded Future)

Anhang C: MITRE ATT&CK-Techniken

Taktik: Technik

ATT&CK-Code

Erster Zugriff: Phishing

T1566

Erster Zugriff: Drive-by-Kompromittierung

T1189

Ausführung: Benutzerausführung: Bösartige Datei

T1204.002

Ausführung: Benutzerausführung: Böswilliges Kopieren und Einfügen

Nr. T1204.004

Ausführung: Befehls- und Skriptinterpreter: PowerShell

T1059.001

Ausführung: Befehls- und Scripting-Interpreter: AutoHotKey & AutoIT

Nr. T1059.010

Ressourcenentwicklung: Infrastruktur erwerben: Domänen

T1583.001

Ressourcenentwicklung: Infrastruktur erwerben: Virtueller privater Server

T1583.003

Ressourcenentwicklung: Infrastruktur erwerben: Server

T1583.004

Erschließung von Ressourcen: Zugang erwerben

T1650

Erschließung von Ressourcen: Funktionen abrufen: Werkzeug

Nr. T1588.002

Erschließung von Ressourcen: Kompromittierte Konten: E-Mail-Konten

Nr. T1586.002

Ausweichen der Verteidigung: Maskerade

T1036

Befehl und Kontrolle: Proxy: Externer Proxy

T1090.002

Befehls- und Kontrollsystem: Protokoll der Anwendungsschicht: Web-Protokolle

T1071.001

Befehl und Kontrolle: Übergabe von Eingangswerkzeugen

T1105

Sammlung: Daten aus dem lokalen System

T1005

Anhang D: YARA-Regeln

CastleLoader (Englisch)

Regel MAL_CastleLoader {
    meta:
        Autor = "Insikt Group, Recorded Future"
        Datum = "06.08.2025"
        description = "Erkennung der ausführbaren CastleLoader-Malware"
        Version = "1.0"
        Referenz = "https://www.ibm.com/think/x-force/dissecting-castlebot-maas-operation"
        hash = "1b6befc65b19a63b4131ce5bcc6e8c0552fe1e1d136ab94bc7d81b3924056156"
        hash = "202f6b6631ade2c41e4762e5877ce0063a3beabce0c3f8564b6499a1164c1e04"
        hash = "25e0008aba82690e0f58c9d9fcfbc5d49820aa78d2f7bfcd0b85fb969180fc04"
        hash = "b45cce4ede6ffb7b6f28f75a0cbb60e65592840d98dcb63155b9fa0324a88be2"
        hash = "fb9de7448e9e30f717c171f1d1c90ac72828803a16ad385757aeecc853479d3c"
        hash = "6444f0e3f78254aef663837562d258a2236a77f810ee8d832de7d83e0fdd5783"
        Malware = "CastleLoader"
        malware_id = "8RF9P9"
        category = "MALWARE"
    Streichinstrumente:
        $vmware_check = { 3D 56 4D 77 61 75 ?? 81 7D F8 72 65 56 4D 0F 85 ?? ?? ?? ?? 81 7D F4 77 61 72 65 }
        $api_hashing = { 0F BE 0C 1E 8B C2 F6 C3 01 75 0F C1 E8 03 0F AF C1 8B CA C1 E1 07 33 C1 }
        $stack_str_url = { C7 ?5 [1-4] 74 00 74 00 C7 ?5 [1-4] 69 00 6E 00 C7 ?5 [1-4] 67 00 73 00 }
        $mov_edx_apihash1 = { BA 44 A0 2D 39 } // CreateMutexW
        $mov_edx_apihash2 = { BA 2B C2 86 58 } // GetLastError
        $mov_edx_apihash3 = { BA 94 F9 86 F8 } // RtlAllocateHeap
        $mov_edx_apihash4 = { BA B2 48 70 60 } // Prozess beenden
    Zustand:
        uint16(0) == 0x5A4D und alle
}

CastleRAT Python Variante

Regel MAL_CastleRAT_Python {
    meta:
        Autor = "Insikt Group, Recorded Future"
        Datum = "18.08.2025"
        description = "Erkennung der Python-Variante der CastleRAT-Malware"
        Version = "1.0"
        Referenz = "https://www.ibm.com/think/x-force/dissecting-castlebot-maas-operation"
        Referenz = "https://catalyst.prodaft.com/public/report/understanding-current-castleloader-campaigns/overview"
        hash = "94dc0f696a46f3c225b0aa741fbd3b8997a92126d66d7bc7c9dd8097af0de52a"
        hash = "53775af67e9df206ed3f9c0a3756dbbc4968a77b1df164e9baddb51e61ac82df"
        malware = "CastleRAT"
        malware_id = "9WCga-"
        category = "MALWARE"
    Streichinstrumente:
        $cmd 1 = "S_CONNECT" Vollwort
        $cmd 2 = "S_COMMAND" Vollwort
        $cmd 3 = "S_PING" Vollwort
        $cmd 4 = "S_CMD" Vollwort
        $cmd 5 = "S_DELETE" Vollwort
        $cmd 6 = "S_POWERSHELL" Vollwort
        $cmd 7 = "S_START_TERMINAL" Vollwort
        $cmd 8 = "S_SESSION_MESSAGE" Vollwort
        $cmd 9 = "S_UPLOAD" Vollwort
        $fun 1 = "CheckElevation():" volles Wort
        $fun 2 = "Holen Sie sich HWID("
        $fun 3 = "GetOS("
        $fun 4 = "GetIpGeo("
        $fun 5 = "rc4createkeyA("
        $fun 6 = "VerschlüsselnEntschlüsselBufA("
        $fun 7 = "RecvTimeout("
        $fun 8 = "Senden("
        $fun 9 = "Verbinden("
        $fun 10 = "ThreadPing("
        $fun 11 = "ThreadRecvTerminal("
        $fun 12 = "ThreadTerminalSession("
        $fun 13 = "ThreadUploadFile("
        $fun 14 = "SelfDelete()" vollständiges Wort
    Zustand:
        Dateigröße < 50KB und
        7 von ($cmd*) und
        10 von ($fun*)
}

CastleRAT C Variante

rule MAL_CastleRAT_C {
    meta:
        author = "Insikt Group, Recorded Future"
        date = "2025-08-18"
        description = "Detection of the C variant of CastleRAT malware"
        version = "1.0"
        reference = "https://www.ibm.com/think/x-force/dissecting-castlebot-maas-operation"
        reference = "https://catalyst.prodaft.com/public/report/understanding-current-castleloader-campaigns/overview"
        hash = "1ff6ee23b4cd9ac90ee569067b9e649c76dafac234761706724ae0c1943e4a75"
        hash = "e6bcdf375649a7cbf092fcab65a24d832d8725d833e422e28dfa634498b00928"
        hash = "67cf6d5332078ff021865d5fef6dc61e90b89bc411d8344754247ccd194ff65b"
        hash = "963c012d56c62093d105ab5044517fdcce4ab826f7782b3e377932da1df6896d"
        hash = "60125159523c356d711ffa1076211359906e6283e25f75f4cf0f9dc8da6bf7b0"
        malware = "CastleRAT"
        malware_id = "9WCga-"
        category = "MALWARE"
    strings:
        $ = "keylog.txt" fullword wide
        $ = "(VPN)" wide ascii
        $ = "rundll32 \"C:\\Windows\\System32\\shell32.dll\" #61"  wide
        $ = "\"%ws\" --mute-audio --do-not-de-elevate" fullword wide
        $ = "\"%ws\" -no-deelevate" fullword wide
        $ = "IsWindowVisible" fullword ascii
        $ = "camera!" fullword wide
        $ = "UAC_InputIndicatorOverlayWnd" fullword wide
        $ = "-----------------------------------------" fullword wide
        $ = "[%02d:%02d %02d.%02d.%02d] %ws" fullword wide
        $ = "C:\\Windows\\System32\\cmd.exe" fullword wide
        $ = "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe" fullword wide
        $ = "www.ip-api.com" fullword wide
        $ = "MachineGuid" fullword wide
        $ = "line/?fields=" wide
     condition:
       uint16(0) == 0x5a4d and all of them
}

Anhang E: Sigma-Regel

title: CastleRAT Python Malware Selbstlöschung
Kennung: 1050A0C4-1110-4B55-938C-0D27259DDD1E
Status: stabil
Beschreibung: Erkennt die Ausführung von Powershell durch die Python-Variante der CastleRAT-Malware, um sich selbst zu löschen.
Referenzen:
  - https://tria.ge/250822-r3a6qaak2t
Autor: Insikt Group, Recorded Future
Datum: 28.08.2025
Schilder:
  - attack.t1070.004 # Entfernen des Indikators: Löschen von Dateien
Logsource:
    Produkt: Fenster
    Kategorie: process_creation
Erkennung:
    self_delete:
        CommandLine|endswith: 'powershell Start-Sleep -Sekunden 4; remove-item -path '*' -force; Ausgang"
    Zustand: self_delete
Stufe: hoch
Falschmeldungen:
  - Mögliche harmlose Aktivität des Installateurs

title: Erstellung der CastleRAT C Variant Malware-Protokolldatei
Kennung: 4D785AC8-17FE-4765-B427-9A31073AD1A7
Status: stabil
Beschreibung: Erkennt Ereignisse bei der Erstellung von CastleRAT C-Malware-Protokolldateien. Die Protokolldatei wird verwendet, um die Ausgabe des Keyloggers und des Zwischenablage-Stealers zu speichern.
Referenzen:
  - https://tria.ge/250701-v6911aykv9
Autor: Insikt Group, Recorded Future
Datum: 29.08.2025
Stufe: hoch
Schilder:
  - attack.t1608 # Stage-Fähigkeiten
  - attack.t1074.001 # Bereitgestellte Daten - Lokales Daten-Staging
  - attack.t1115 # Zwischenablage-Daten
  - attack.t1056.001 # Keylogging
Logsource:
  Produkt: Fenster
  Kategorie: file_event
Erkennung:
  castlerat_logs:
    ZielDateiname|endet mit:
      - '\AppData\Local\Temp\MuuuuuhGer3'
      - '\AppData\Local\Temp\PluhhSuk3'
      - '\AppData\Local\Temp\AsdDsaHaha3'
      - '\AppData\Local\Temp\ChuChuka'
      - '\AppData\Local\Temp\GagikMaraguiSS'
      - '\AppData\Local\Temp\LowUshrSudujes'
      - '\AppData\Local\Temp\RarnuiKarta'
      - '\AppData\Local\Temp\GrazGraznii'
      - '\AppData\Local\Temp\GiveGvein3'
      - '\AppData\Local\Temp\BeruiowdgsouiHTR'
      - '\AppData\Local\Temp\GDSongdsgndohSDU'
  Zustand: castlerat_logs
Falschmeldungen:
  -Unwahrscheinlich

Anhang F: Snort-Regeln

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"CastleLoader Malware Outbound Checkin"; flow:established,to_server; content:"GET"; http_method; urilen:82,norm; content:"|2F|service|2F|settings|2F|"; http_uri; fast_pattern; content:"Cache-Control|3A 20|no-cache|0D 0A|Connection|3A 20|Keep-Alive|0D 0A|Pragma|3A 20|no-cache|0D 0A|User-Agent|3A 20|"; http_header; depth:79; content:"Host|3A 20|"; http_header; distance:0; content:!"Accept"; http_header; pcre:"/User\x2dAgent[^\x0d]+\x0d\x0aHost\x3a\x20[^\x0d]+\x0d\x0a\x0d\x0a/"; reference:url,https://catalyst.prodaft.com/public/report/understanding-current-castleloader-campaigns/overview; classtype:trojan-activity; sid:52460302; rev:1; metadata:author MGUT, created_at 2025-07-24, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"CastleLoader Malware Outbound Payload Request"; flow:established,to_server; content:"GET"; http_method; content:"|2F|service|2F|download|2F|"; http_uri; fast_pattern; content:"Cache-Control|3A 20|no-cache|0D 0A|Connection|3A 20|Keep-Alive|0D 0A|Pragma|3A 20|no-cache|0D 0A|User-Agent|3A 20|"; http_header; depth:79; content:"Host|3A 20|"; http_header; distance:0; content:!"Accept"; http_header; pcre:"/User\x2dAgent[^\x0d]+\x0d\x0aHost\x3a\x20[^\x0d]+\x0d\x0a\x0d\x0a/"; reference:url,https://catalyst.prodaft.com/public/report/understanding-current-castleloader-campaigns/overview; classtype:trojan-activity; sid:52460303; rev:1; metadata:author MGUT, created_at 2025-07-24, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"CastleLoader Malware Stager Outbound Payload Request"; flow:established,to_server; content:"GET"; http_method; content:"|2F|service|2F|download|2F|"; http_uri; depth:18; fast_pattern; content:".bin"; http_uri; content:"User-Agent|3A 20|GoogeBot|0D 0A|"; http_header; reference:url,https://catalyst.prodaft.com/public/report/understanding-current-castleloader-campaigns/overview; classtype:trojan-activity; sid:52460304; rev:1; metadata:author MGUT, created_at 2025-08-12, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)

alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"Mögliche ausgehende CastleRAT-Python-Malware-Anfrage an den IP-Geo-Standortdienst ip-api"; flow:established,to_server;  Inhalt:"HOLEN"; http_method; urilen:19,norm; content:"|2F|Linie|2F 3F|Felder|3D|16385"; http_uri; Tiefe:19; fast_pattern; Inhalt:"Anschluss|3A 20|Keep-Alive|0D 0A|Host|3A 20|www.ip-api.com|0D 0A 0D 0A|"; http_raw_header; Tiefe:48; Referenz:URL,https://tria.ge/250808-w4hpeaxtcw; classtype:Trojaner-Aktivität; sid:52460315; Umdrehung:1; metadata:author MGUT, created_at 2025-08-24, mitre_tactic_id TA0011, mitre_tactic_name Command-and-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Mögliche ausgehende CastleRAT C-Variante Malware-Anfrage an den IP-Geo-Standortdienst ip-api"; flow:established,to_server;  Inhalt:"HOLEN"; http_method; urilen:20,norm; Inhalt:"|2F|Linie|2F 3F|Felder|3D|147457"; http_uri; Tiefe:20; fast_pattern; Inhalt:"Anschluss|3A 20|Keep-Alive|0D 0A|Host|3A 20|www.ip-api.com|0D 0A 0D 0A|"; http_header; Tiefe:48; Referenz:URL,https://tria.ge/250822-vwt7ssxly9; classtype:Trojaner-Aktivität; sid:52460316; Umdrehung:1; metadata:author MGUT, created_at 2025-08-24, mitre_tactic_id TA0011, mitre_tactic_name Command-and-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Mögliche ausgehende CastleRAT C-Variante Malware-Anfrage an den IP-Geo-Standortdienst ip-api"; flow:established,to_server;  Inhalt:"HOLEN"; http_method; urilen:20,norm; content:"|2F|Linie|2F 3F|Felder|3D|147505"; http_uri; Tiefe:20; fast_pattern; Inhalt:"Anschluss|3A 20|Keep-Alive|0D 0A|Host|3A 20|www.ip-api.com|0D 0A 0D 0A|"; http_header; Tiefe:48; Referenz:URL,https://tria.ge/250814-wyqstsyjx3; classtype:Trojaner-Aktivität; sid:52460317; Umdrehung:1; metadata:author MGUT, created_at 2025-08-24, mitre_tactic_id TA0011, mitre_tactic_name Command-and-Control;)

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CastleRAT Malware Outbound Handshake"; flow:established,to_server; dsize:20; stream_size:server,=,1; content:"|02 56 77 8E A5 83 D7 05 02 C2 1E D9 70 5A 47 E5 11 92 B5 5A|"; fast_pattern; depth:20; reference:url,https://tria.ge/250808-w4hpeaxtcw; classtype:trojan-activity; sid:52460307; rev:1; metadata:author MGUT, created_at 2025-08-18, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CastleRAT Malware Outbound Handshake"; flow:established,to_server; dsize:20; stream_size:server,=,1; content:"|BF CF 04 82 45 DF 4F 09 55 5E 0B 15 9F E2 91 A0 68 51 1E 87|"; fast_pattern; depth:20; reference:url,https://tria.ge/250814-wyqstsyjx3; classtype:trojan-activity; sid:52460308; rev:1; metadata:author MGUT, created_at 2025-08-18, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CastleRAT Malware Outbound Handshake"; flow:established,to_server; dsize:20; stream_size:server,=,1; content:"|6B 13 5C 08 BD 49 59 75 79 62 4E EA 2F DE 57 F4 6E 08 8B 6B|"; fast_pattern; depth:20; reference:url,https://tria.ge/250219-nsbsqazpep; classtype:trojan-activity; sid:52460309; rev:1; metadata:author MGUT, created_at 2025-08-18, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CastleRAT Malware Outbound Handshake"; flow:established,to_server; dsize:20; stream_size:server,=,1; content:"|56 EA 59 DB 6B DD 36 81 42 01 C6 84 DF 5A 6B E8 38 14 8D 07|"; fast_pattern; depth:20; reference:url,https://tria.ge/250505-wmbvjabk3t; classtype:trojan-activity; sid:52460310; rev:1; metadata:author MGUT, created_at 2025-08-18, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CastleRAT Malware Outbound Handshake"; flow:established,to_server; dsize:20; stream_size:server,=,1; content:"|A8 CF 1E 1D BA 27 49 FB 63 38 F4 52 A7 9C 39 CF 4A 85 E5 5B|"; fast_pattern; depth:20; reference:url,https://tria.ge/250822-vwt7ssxly9; classtype:trojan-activity; sid:52460311; rev:1; metadata:author MGUT, created_at 2025-08-22, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CastleRAT Malware Outbound Handshake"; flow:established,to_server; dsize:20; stream_size:server,=,1; content:"|0F 0D F7 66 4C B2 D5 12 BA 55 CC BB 2E 1B F4 AD C0 E0 7C A2|"; fast_pattern; depth:20; reference:url,https://tria.ge/250822-rt355svtfs; classtype:trojan-activity; sid:52460312; rev:1; metadata:author MGUT, created_at 2025-08-22, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CastleRAT Malware Outbound Handshake"; flow:established,to_server; dsize:20; stream_size:server,=,1; content:"|74 6F D9 7F B5 48 F6 91 26 E0 16 5A 81 29 4F 35 21 6C 61 82|"; fast_pattern; depth:20; reference:url,https://tria.ge/250813-a7c3fadl7z; classtype:trojan-activity; sid:52460313; rev:1; metadata:author MGUT, created_at 2025-08-22, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CastleRAT Malware Outbound Handshake"; flow:established,to_server; dsize:20; stream_size:server,=,1; content:"|61 57 7C E8 EE BE 56 71 B3 98 F4 A6 87 E3 0C 39 50 0C 29 41|"; fast_pattern; depth:20; reference:url,https://tria.ge/250822-vwt7ssxly9; classtype:trojan-activity; sid:52460314; rev:1; metadata:author MGUT, created_at 2025-08-22, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"Possible CastleRAT Python Malware Outbound Request To IP Geo Location Service ip-api"; flow:established,to_server;  content:"GET"; http_method; urilen:19,norm; content:"|2F|line|2F 3F|fields|3D|16385"; http_uri; depth:19; fast_pattern; content:"Connection|3A 20|Keep-Alive|0D 0A|Host|3A 20|www.ip-api.com|0D 0A 0D 0A|"; http_raw_header; depth:48; reference:url,https://tria.ge/250808-w4hpeaxtcw; classtype:trojan-activity; sid:52460315; rev:1; metadata:author MGUT, created_at 2025-08-24, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Possible CastleRAT C Variant Malware Outbound Request To IP Geo Location Service ip-api"; flow:established,to_server;  content:"GET"; http_method; urilen:20,norm; content:"|2F|line|2F 3F|fields|3D|147457"; http_uri; depth:20; fast_pattern; content:"Connection|3A 20|Keep-Alive|0D 0A|Host|3A 20|www.ip-api.com|0D 0A 0D 0A|"; http_header; depth:48; reference:url,https://tria.ge/250822-vwt7ssxly9; classtype:trojan-activity; sid:52460316; rev:1; metadata:author MGUT, created_at 2025-08-24, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Possible CastleRAT C Variant Malware Outbound Request To IP Geo Location Service ip-api"; flow:established,to_server;  content:"GET"; http_method; urilen:20,norm; content:"|2F|line|2F 3F|fields|3D|147505"; http_uri; depth:20; fast_pattern; content:"Connection|3A 20|Keep-Alive|0D 0A|Host|3A 20|www.ip-api.com|0D 0A 0D 0A|"; http_header; depth:48; reference:url,https://tria.ge/250814-wyqstsyjx3; classtype:trojan-activity; sid:52460317; rev:1; metadata:author MGUT, created_at 2025-08-24, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)