De CastleLoader à CastleRAT : TAG-150 fait évoluer ses opérations avec une infrastructure à plusieurs niveaux

Executive Summary

L'Insikt Group a identifié un nouvel acteur de la menace, TAG-150, actif depuis au moins mars 2025, caractérisé par un développement rapide, une sophistication technique, une réactivité aux rapports publics et une infrastructure importante et évolutive. L'infrastructure liée à TAG-150 comprend à la fois des éléments de niveau 1 orientés vers les victimes, tels que des adresses IP et des domaines utilisés comme serveurs de commande et de contrôle (C2) pour plusieurs familles de logiciels malveillants, et une infrastructure de niveau supérieur composée de plusieurs couches. Depuis son apparition en mars 2025, TAG-150 a déployé plusieurs familles de logiciels malveillants probablement développés par ses soins, à commencer par CastleLoader et CastleBot, et plus récemment CastleRAT, un cheval de Troie d'accès à distance documenté ici pour la première fois. En outre, Insikt Group a identifié plusieurs services susceptibles d'être utilisés par TAG-150, notamment des plateformes de partage de fichiers, des services d'anti-détection, etc.

Pour se protéger contre TAG-150, les défenseurs de la sécurité doivent bloquer les adresses IP et les domaines liés aux chargeurs, aux voleurs d'informations et aux RAT associés, signaler et éventuellement bloquer les connexions aux LIS inhabituels tels que Pastebin, et déployer des règles de détection actualisées (YARA, Snort) pour les infections actuelles et historiques. D'autres contrôles comprennent la mise en place d'un filtrage des courriels et d'une surveillance de l'exfiltration des données. Voir la section Atténuations pour des conseils de mise en œuvre et l'annexe A pour une liste complète d'indicateurs de compromission (IoC). À long terme, les analystes devraient surveiller en permanence l'écosystème cybercriminel pour détecter les nouvelles menaces et adapter les contrôles en conséquence.

Key Findings

Insikt Group a mis au jour un vaste ensemble d'infrastructures exploitées par l'acteur de la menace identifié sous le nom de TAG-150, connu pour déployer des logiciels malveillants tels que CastleLoader. L'infrastructure suit un modèle à plusieurs niveaux, avec des serveurs de niveau 1 orientés vers les victimes, ainsi que des infrastructures de niveau 2, 3 et 4.
En outre, Insikt Group a identifié un nouveau cheval de Troie d'accès à distance lié à TAG-150, baptisé CastleRAT. Disponible en Python et en C, la fonctionnalité principale de CastleRAT consiste à collecter des informations sur le système, à télécharger et à exécuter des charges utiles supplémentaires, ainsi qu'à exécuter des commandes via CMD et PowerShell.
Une analyse plus poussée permet également de mieux comprendre l'ensemble des outils et l'écosystème opérationnel de TAG-150, qui s'appuie sur de nombreux services de partage de fichiers, des plateformes de messagerie et des utilitaires spécialisés, notamment le service d'anti-détection Kleenscan(kleenscan[.]com).

Background

TAG-150 est la désignation par Insikt Groupde l'acteur de la menace lié au développement et à l'utilisation des familles de logiciels malveillants CastleLoader, CastleBot et, plus récemment, CastleRAT. Ils sont actifs depuis au moins mars 2025 (voir figure 1). Ces familles de logiciels malveillants sont fréquemment observées en tant que vecteurs d'infection initiale qui délivrent un large éventail de charges utiles secondaires, notamment SectopRAT, WarmCookie, HijackLoader, NetSupport RAT, ainsi que de nombreux voleurs d'informations tels que Stealc, RedLine Stealer, Rhadamanthys Stealer, DeerStealer, MonsterV2, parmi d'autres(1, 2).

Figure 1: Chronologie de l'activité TAG-150 (sources : Recorded Future)

Les infections sont le plus souvent déclenchées par des attaques de phishing "ClickFix" sur le thème de Cloudflare ou par des dépôts GitHub frauduleux se faisant passer pour des applications légitimes. Les opérateurs utilisent la technique ClickFix en exploitant des domaines qui imitent des bibliothèques de développement de logiciels, des plateformes de réunion en ligne, des alertes de mise à jour de navigateur et des systèmes de vérification de documents. Les victimes sont incitées à copier et à exécuter des commandes PowerShell malveillantes sur leurs propres appareils, ce qui permet la compromission. Les rapports publics indiquent que, bien que le nombre de clics et de téléchargements ait été limité, le taux d'infection de 28,7% parmi les victimes qui ont interagi avec les liens malveillants souligne l'efficacité de TAG-150.

Des rapports publics antérieurs ont suggéré que TAG-150 fonctionne sur un modèle de Malware-as-a-Service (MaaS), ce qui est corroboré par son utilisation dans la livraison d'une grande variété de charges utiles de second niveau, le nombre de panneaux d'administration CastleLoader observés et la présence de fonctions généralement associées aux plateformes MaaS (comme l'a noté PRODAFT). Cependant, Insikt Group n'a pas identifié de publicités ou de discussions sur de tels services sur les forums clandestins. En outre, l'analyse de Recorded Future Network Intelligence suggère que TAG-150 interagit principalement avec son infrastructure associée, et que seul un petit nombre d'autres adresses IP, potentiellement liées à des clients externes ou à des affiliés, communiquent avec lui. Ce trafic réseau, potentiellement associé à des clients externes ou à des affiliés, est largement connecté à des nœuds Tor, ce qui complique sa classification.

Infrastructure Analysis

Insikt Group a identifié une infrastructure étendue et à plusieurs niveaux liée à TAG-150. L'infrastructure se compose de serveurs C2 de niveau 1 orientés vers les victimes et associés à des familles de logiciels malveillants telles que CastleLoader, SecTopRAT, WarmCookie et CastleRAT, récemment découvert, ainsi que de serveurs de niveaux 2, 3 et 4, ces derniers étant probablement utilisés à des fins de sauvegarde. La figure 2 donne un aperçu de l'ensemble de l'infrastructure, tandis que les sections suivantes examinent chaque élément plus en détail.

Figure 2: Infrastructure à plusieurs niveaux liée à TAG-150 (sources : Recorded Future)

Infrastructure à plusieurs niveaux

Niveau 1

L'infrastructure de niveau 1 comprend de nombreux serveurs C2 associés à diverses familles de logiciels malveillants, tels que CastleLoader, CastleRAT, SecTopRAT et WarmCookie, entre autres. Ces serveurs sont généralement gérés par des serveurs de niveau 2, bien que dans certains cas, les serveurs de niveau 3 interagissent directement avec eux.

Chargeur de château

Insikt Group a identifié un nombre important de serveurs C2 CastleLoader associés à TAG-150, comme indiqué à l 'annexe B. Les adresses IP de ces serveurs hébergent souvent des domaines enregistrés par NameCheap, Inc. ou TUCOWS, INC. bien que les domaines n'adhèrent à aucune convention de dénomination cohérente. Si l'infrastructure C2 de CastleLoader a été observée dans divers numéros de systèmes autonomes (ASN), une part considérable est liée aux fournisseurs d'hébergement servinga GmbH, FEMO IT SOLUTIONS LIMITED et Eonix Corporation. FEMO IT SOLUTIONS LIMITED est considéré comme un threat activity enabler (TAE) et est activement suivi par Insikt Group.

Parmi les domaines analysés, panelv1[.]hostingzealoft[.]today s'est démarqué, car il imite le domaine légitime d'un fournisseur d'hébergement connu, hostingzealot[.]com, qui héberge également l'adresse IP associée à ce domaine. La raison de ce choix n'est pas claire. En outre, TAG-150 ne semble pas suivre une convention de dénomination ou un modèle thématique cohérent dans les autres domaines.

Panneau d'administration de CastleLoader

La plupart des serveurs C2 de CastleLoader observés par Insikt Group fournissent à la fois des fonctionnalités C2, principalement sur le port 80, et un panneau d'administration, généralement hébergé sur le port 5050 et occasionnellement sur le port 9999. La figure 3 illustre un exemple de panneau d'administration de CastleLoader.

Figure 3: Panneau d'administration de CastleLoader C2 (Source : URLScan)

CastleRAT

Outre CastleLoader et CastleBot, qui ont déjà fait l'objet de rapports, Insikt Group a identifié une nouvelle famille de logiciels malveillants, baptisée CastleRAT, qui est décrite plus en détail dans la section CastleRAT. Insikt Group a découvert des variantes C et Python de CastleRAT. L'annexe B dresse la liste des serveurs C2 de CastleRAT, généralement exposés sur les ports 80, 443 et 7777, et parfois sur d'autres ports. Les serveurs C2 de CastleRAT ont été observés sur plusieurs ASN, avec une instance particulièrement remarquable hébergée sur une adresse IP de Google Cloud.

SectopRAT

Insikt Group a identifié au moins sept serveurs C2 de SectopRAT associés à TAG-150, dont six étaient accessibles via l'infrastructure de niveau supérieur de TAG-150 (voir l'annexe B). Les principaux canaux de communication C2 sont les ports TCP 15647, 15747, 15847, 15947, 14367 ou 9000. Dans l'annexe B, les dates de première et dernière observation représentent les cas les plus anciens et les plus récents dans lesquels ces serveurs ont été observés en train de communiquer avec l'infrastructure de niveau supérieur de TAG-150. L'adresse IP 92[.]255[.]57[.]32 n'a pas été observée en train de communiquer avec l'infrastructure de niveau supérieur de TAG-150 ; cependant, elle est considérée comme associée à TAG-150 en raison des chevauchements observés entre les victimes.

Au cours de l'analyse, Insikt Group a également identifié l'adresse IP 91[.]210[.]164[.]26, qui est potentiellement lié à TAG-150 mais qui n'a pas été observé en train de communiquer avec l'infrastructure de niveau supérieur de TAG-150. Notamment, l'adresse IP 176[.]126[.]163[.]56 héberge un certificat de sécurité de la couche transport (TLS) auto-signé avec le nom commun krona186380. Au cours de l'analyse, Insikt Group a également identifié l'adresse IP 91[.]210[.]164[.]26 dans le même ASN, qui présentait un certificat TLS auto-signé similaire avec le nom commun krona184679. Bien qu'aucun échantillon ou communication d'infrastructure de niveau supérieur n'ait été observé avec cette adresse IP, Insikt Group estime qu'elle peut être liée à TAG-150 en raison de ces similitudes.

Au cours de l'analyse, Insikt Group a également identifié l'adresse IP 91[.]210[.]164[.]26, qui est potentiellement liée à TAG-150 mais qui n'a pas été observée en train de communiquer avec l'infrastructure de niveau supérieur de TAG-150.

Cookie chaud

Insikt Group a identifié au moins un serveur WarmCookie C2 associé à TAG-150, comme détaillé dans l'annexe B. Cette même adresse IP avait déjà été signalée en relation avec CastleLoader. Les identifiants de campagne liés aux échantillons WarmCookie observés étaient traffic1 et traffic2. Le hachage SHA256 de l'identifiant de la campagne est utilisé pour construire le point d'extrémité de la requête GET de CastleLoader, qui est soupçonné d'être la condition préalable à la récupération de la ou des charges utiles de suivi correctes.

Niveau 2

Insikt Group a identifié des serveurs VPS de niveau 2 fonctionnant probablement comme intermédiaires entre les serveurs de niveau 1 orientés vers les victimes et l'infrastructure de niveau 3. Plus précisément, TAG-150 a été observé en train d'accéder aux serveurs de niveau 2 via le port RDP 3389 avant de se connecter ensuite aux serveurs de niveau 1 via une variété d'autres ports. Des connexions ont été observées avec CastleLoader, CastleRAT, SectopRAT et WarmCookie, entre autres. Notamment, dans plusieurs cas, TAG-150 a entièrement contourné le niveau 2, se connectant directement de la couche 3 aux serveurs de niveau 1. Insikt Group évalue ce comportement comme étant soit un changement de procédures opérationnelles par les mêmes opérateurs associés au TAG-150, soit le résultat de l'utilisation de méthodes alternatives par des opérateurs différents.

Niveau 3

L'infrastructure de niveau 3 de TAG-150 semble être divisée en deux parties. D'un côté, Insikt Group a identifié un ensemble de serveurs VPS utilisant tous le même certificat TLS, dont l'un est considéré comme la plaque tournante probable en raison de l'importance du trafic et des liens observés avec ce qui est considéré comme le niveau 4, dont il est question dans la section suivante.

Par ailleurs, Insikt Group a identifié une adresse IP résidentielle russe évaluée comme étant de niveau 3, qui a été observée en train de communiquer avec des serveurs de niveau 2 et de niveau 1. L'adresse IP russe est annoncée par AS35807 (AS-SKYNET-SPB). Cette séparation entre l'infrastructure VPS et l'adresse IP résidentielle pourrait indiquer la présence d'un second opérateur lié à TAG-150. Il convient de noter que l'adresse IP résidentielle russe a été observée en train de communiquer régulièrement avec les serveurs Tox via le port par défaut du protocole de datagramme utilisateur (UDP) 33445, ce qui suggère que TAG-150 utilise Tox pour ses communications internes.

Niveau 4

Le serveur principal de niveau 3 a été observé en train de communiquer avec un autre serveur, que Insikt Group considère comme un serveur de secours potentiel, au cours d'une session UDP persistante, de port élevé à port élevé, qui s'étend sur plusieurs semaines. Ce serveur est considéré comme un serveur de niveau 4. Le serveur de niveau 4 est associé à une adresse IP annoncée par AS204601 (ON-LINE-DATA) et, dans un cas au moins, il a été observé en train de communiquer directement avec un panneau CastleLoader, une activité considérée comme un manquement à la sécurité opérationnelle.

En outre, Insikt Group a identifié un autre ensemble de serveurs susceptibles de faire partie du niveau 4.

Services utilisés par TAG-150

En surveillant les activités du TAG-150 à l’aide de Recorded Future Network Intelligence et d’autres sources, Insikt Group a estimé que le TAG-150 tire très probablement parti d’une gamme de ressources opérationnelles. Il s’agit notamment du réseau Oxen (anciennement Lokinet), qui fournit une infrastructure pour des applications axées sur la protection de la vie privée, telles que des plateformes de messagerie sécurisées ; Kleenscan (kleenscan[.]com), une alternative à l’AVCheck récemment démantelé ; Le service de partage de fichiers temp[.]sh; L’échange de crypto-monnaie simpleswap[.]io; Le service d’hébergement de fichiers mega[.]Nouvelle-Zélande; et, en outre, Exploit Forum, que le groupe est également susceptible d'utiliser. Insikt Group a précédemment noté qu’à la suite de la perturbation d’AVCheck, d’autres cybercriminels, y compris des filiales de Lumma, ont commencé à utiliser Kleenscan. En juin 2025, Insikt Group a identifié le TAG-150 interagissant brièvement avec un panneau Matanbuchus Loader hébergé sur 185[.]39[.]19[.]164.

Infrastructure de livraison des charges utiles

Insikt Group a découvert plusieurs domaines de livraison de charges utiles associés à CastleLoader, dont la plupart sont hébergés derrière Cloudflare, à une exception près. Tous les indicateurs correspondants figurent à l'annexe B.

Activité potentielle de Play Ransomware

Au cours de l'enquête sur l'activité TAG-150, Insikt Group a identifié un FAI français qui communiquait avec le panneau CastleLoader à l'adresse IP 107[.]158[.]128[.]45. et avec un serveur C2 WarmCookie 192[.]36[.]57[.]164. Il convient de noter que ce serveur C2 WarmCookie a été observé lors d'une exfiltration de réseau impliquant une adresse IP liée à une victime connue de Play Ransomware. Comme le moment de l'exfiltration coïncide avec la compromission de l'organisation victime par Play Ransomware, Insikt Group estime qu'il est possible que Play Ransomware ou l'un de ses affiliés ait utilisé CastleLoader.

Bien que l'Insikt Group n'ait pas trouvé la chaîne d'infection complète reliant les instances spécifiques de WarmCookie et de CastleLoader, un échantillon de WarmCookie avec le même mutex a été identifié, qui avait été déployé via CastleLoader. Cette constatation augmente la probabilité que l'échantillon WarmCookie associé à 192[.]36[.]57[.]164 a également été déployé via CastleLoader et peut donc être directement connecté à 107[.]158[.]128[.]45.

À ce jour, cependant, aucun rapport public n'a associé Play Ransomware à WarmCookie ou CastleLoader. Il est donc possible que la victime ait été ciblée par plusieurs acteurs de la menace et que l'infection par WarmCookie ne soit pas liée à l'incident du Play Ransomware.

CastleRAT

CastleRAT est un RAT qui comprend des variantes C et Python partageant les points communs suivants :

Protocole binaire personnalisé utilisant le cryptage RC4 avec des clés de 16 octets codées en dur
Interroge l'API de géolocalisation ip-api[.]com pour obtenir des informations sur la localisation et d'autres informations par le biais de l'adresse IP publique de l'hôte infecté.
Téléchargement et exécution d'exécutables
Shell à distance

La variante C de CastleRAT comprend également des capacités de vol plus avancées, telles que l'enregistrement des frappes et la capture d'écran. Les deux variantes sont en cours de développement. Par exemple, les C2 deaddrops hébergés sur les pages de la communauté Steam sont une nouveauté, observée pour la première fois à la fin du mois d'août 2025 (voir figure 4).

Figure 4: TAG-150's CastleRAT utilisant Steam Community pour la résolution des problèmes (sources : Recorded Future)

Notamment, bien que CastleRAT n'ait jusqu'à présent été déployé qu'en même temps que CastleLoader et que son infrastructure présente des liens évidents avec TAG-150, cela n'indique pas nécessairement que CastleRAT a été développé par le ou les mêmes acteurs que CastleLoader ; il est toujours possible que le logiciel malveillant ait été obtenu ailleurs.

CastleRAT Variante Python

CastleRAT est un RAT léger identifié pour la première fois par Insikt Group au début du mois d'août 2025 en tant que charge utile CastleLoader. Notamment, cette variante Python du logiciel malveillant a été référencée publiquement à la fin du mois d'août sous le nom de PyNightshade, bien qu'elle n'ait pas été documentée par ailleurs.

La variante C de CastleRAT n'a pas encore été identifiée publiquement, mais elle est signalée par de nombreuses détections antivirus génériques qui ne sont pas spécifiquement liées à une famille de logiciels malveillants. Il est donc plausible que la variante Python de CastleRAT ait été conçue dans un souci de furtivité, car elle n'est actuellement pas ou très peu détectée par les antivirus. Les caractéristiques suivantes ont été mises en œuvre et sont restées inchangées depuis que la variante Python de CastleRAT a été observée pour la première fois à la fin du mois de juillet 2025 :

Obtenir et communiquer des informations sur le pays de l'IP public et des informations sur le système.
Générer des messages de ping/keep-alive toutes les trois secondes
Télécharger et exécuter des exécutables (EXE) ou des bibliothèques de liens dynamiques (DLL)
Exécutez et affichez la sortie des commandes de l'interpréteur de commandes cmd
Exécuter des commandes PowerShell et en rapporter les résultats
Autosuppression

Les informations sur les pays sont extraites du service de géolocalisation IP bien connu ip-api[.]com. Le statut et le pays du champ sont interrogés (voir figure 5).

Figure 5: Demande et réponse de la variante Python de CastleRAT au service API de géolocalisation ip-api[.]com (sources : Recorded Future)

La requête Recorded Future Malware Intelligence présentée à la figure 6 peut être utilisée pour rechercher les variantes Python de CastleRAT.

dynamic.network.http.sequence.request.url contains "/line/?fields=16385"

Figure 6: Recorded Future Malware Intelligence query to hunt for CastleRAT Python variant (sources : Recorded Future)

Insikt Group estime que la variante Python de CastleRAT est toujours en cours de développement. Les dernières mises à jour ont introduit des fonctionnalités telles que l'encapsulation du protocole binaire dans des WebSockets et l'exploitation des pages de la communauté Steam pour les points morts C2.

CastleRAT C Variante

La variante C de CastleRAT intègre beaucoup plus de fonctionnalités que la variante Python, ce qui augmente probablement sa sensibilité à la détection par les solutions antivirus génériques :

Obtenir et communiquer le pays et d'autres informations sur l'IP public et les informations sur le système.
Générer des messages de ping/keep-alive toutes les six secondes
Keylogger
Clipper
Capture d'écran
Chargement de fichiers
Téléchargement de fichier
Recherchez les processus du navigateur et mettez-y fin
Exécuter les commandes de l'interpréteur de commandes et en rapporter les résultats
Exécuter des commandes PowerShell et en rapporter les résultats
Enregistrer et désenregistrer la persistance
Exécuter des fichiers par injection ou en se faisant passer pour un navigateur
C2 deaddrops via les pages de la communauté Steam

Comme pour la variante Python, la variante C interroge le service de géolocalisation IP ip-api[.]com, largement utilisé, afin de collecter des informations sur la base de l'adresse IP publique de l'hôte infecté. Toutefois, la portée des données a été élargie pour inclure la ville, le code postal et des indicateurs permettant de savoir si l'IP est associée à un VPN, à un proxy ou à un nœud Tor (voir la figure 7).

Figure 7: Demande de la variante C de CastleRAT et réponse au service API de géolocalisation ip-api[.]com (sources : Recorded Future)

Les versions récentes de la variante C de CastleRAT ont supprimé l'interrogation de la ville et du code postal de l'ip-api[.]com. (voir figure 8).

Figure 8: Demande de la variante C de CastleRAT et réponse au service API de géolocalisation ip-api (sources : Recorded Future)

La requête Recorded Future Malware Intelligence présentée à la figure 9 peut être utilisée pour rechercher les variantes C de CastleRAT.

Figure 9: Recorded Future Malware Intelligence query to hunt for CastleRAT C variant (sources : Recorded Future)

La variante C de CastleRAT utilise les objets Mutex uniques suivants pour la synchronisation :

Thickwick3
fsAiodwsfSAFuiefS
BabaiMazai
sPEJIOGDsionsgfdUewg
KolokolBozhii
FkgfIJGgJgdiJGDGHDjMGjia
sdgiregdsssaFWIFS
fsAiodwsfSAFuiefS2
GoldVekRogerS
XmGetzKAM8Bw8NCBTUYo5e

On ne sait pas si la variante Python sera mise à jour pour intégrer les fonctions de vol de données de la variante C, ni quelles capacités supplémentaires les développeurs pourraient introduire pour échapper à la détection.

Victimology

Insikt Group a identifié de nombreuses adresses IP de victimes présumées communiquant avec l'infrastructure C2 de niveau 1 associée aux différentes familles de logiciels malveillants de TAG-150. Bien que la majorité de ces adresses IP semblent être géolocalisées aux États-Unis, seul un nombre limité de victimes réelles a pu être identifié avec certitude. La plupart des victimes ne sont pas identifiées et ne peuvent être confirmées ; cependant, Insikt Group estime qu'il est probable qu'au moins certaines d'entre elles représentent des particuliers qui ont été infectés.

Mitigations

Exploitez les objets de confiance de l'annexe A pour enquêter sur d'éventuelles infections passées ou en cours, réussies ou tentées, et utilisez le Recorded Future Intelligence Cloud pour surveiller les futurs objets de confiance associés à TAG-150 et à d'autres acteurs de la menace.
Utilisez les règles Sigma, YARA et Snort fournies dans les annexes C, D et E dans votre SIEM ou vos outils de détection et de réponse (EDR) pour détecter la présence ou l'exécution de CastleLoader et CastleRAT. En outre, utilisez d'autres règles de détection disponibles dans le Recorded Future Intelligence Cloud.
Utilisez Recorded Future Network Intelligence pour détecter les cas d'exfiltration de données de votre infrastructure d'entreprise vers une infrastructure malveillante connue. Pour ce faire, vous pouvez utiliser des requêtes spécifiques et filtrer les résultats en fonction de vos actifs.
Utilisez le Recorded Future Intelligence Cloud pour surveiller le TAG-150, les autres acteurs de la menace et l’écosystème cybercriminel au sens large, en assurant une visibilité sur les derniers TTP, les outils et services préférés (par exemple, les TAE spécifiques utilisés par les acteurs de la menace) et les développements émergents.

Outlook

Insikt Group estime que TAG-150 continuera à faire évoluer ses outils à un rythme rapide, en mettant particulièrement l'accent sur la furtivité et l'évasion. TAG-150 a déjà fait preuve de sophistication technique et d'adaptabilité et Insikt Group prévoit qu'il continuera à expérimenter des services et des techniques anti-détection afin de rester résistant aux mesures défensives.

Compte tenu de ses antécédents en matière de déploiement de plusieurs familles de logiciels malveillants probablement développés par ses soins, notamment CastleLoader, CastleBot et maintenant CastleRAT, il est fort probable que TAG-150 développe et diffuse d'autres logiciels malveillants à court terme. Insikt Group estime également qu'il existe une forte probabilité que le groupe étende ses efforts de distribution, que ce soit pour augmenter la portée des victimes ou pour opérer potentiellement en tant que MaaS.

Insikt Group continuera à surveiller de près l'infrastructure de TAG-150, le développement de ses outils et ses activités sur les forums clandestins afin de repérer les nouvelles menaces et d'évaluer la trajectoire du groupe.

Annexe A : Indicateurs de compromission (IoC)

CastleLoader C2 IP Addresses:
62[.]60[.]226[.]73
62[.]60[.]226[.]211
62[.]60[.]226[.]254
79[.]132[.]130[.]142
80[.]77[.]23[.]48
85[.]158[.]108[.]135
94[.]159[.]113[.]123
107[.]158[.]128[.]45
107[.]158[.]128[.]90
170[.]130[.]165[.]37
173[.]44[.]141[.]89
173[.]232[.]146[.]90
185[.]212[.]47[.]84
185[.]219[.]220[.]128
213[.]209[.]150[.]229

CastleLoader C2 Domains:
cisco-webexxapp[.]xyz
estetic-online[.]com
higueruela[.]net
lekuvam[.]com
mhousecreative[.]com
notionus[.]org
oneyogasite[.]com
panelv1[.]hostingzealoft[.]today
polarcompany[.]org
rinasalleh[.]com
sftp[.]sagargolf[.]com
vilaoaza[.]com

CastleRAT Python and C C2 IP Addresses:
34[.]72[.]90[.]40
45[.]61[.]136[.]81
91[.]212[.]166[.]17
94[.]141[.]122[.]164
104[.]225[.]129[.]171
144[.]208[.]126[.]50
180[.]178[.]189[.]17
185[.]149[.]146[.]118
185[.]196[.]10[.]8
195[.]85[.]115[.]44
195[.]201[.]108[.]189

CastleRAT C2 Deaddrops:
steamcommunity[.]com/id/tfy5d6gohu8tgy687r7
steamcommunity[.]com/id/krouvhsin34287f7h3
steamcommunity[.]com/id/huilo
steamcommunity[.]com/id/desdsfds34324y3g

SectopRAT C2 IP Addresses:
45[.]141[.]84[.]229
83[.]222[.]191[.]98
92[.]255[.]57[.]32
176[.]126[.]163[.]56
185[.]93[.]89[.]56
194[.]26[.]29[.]44
217[.]12[.]206[.]21

WarmCookie C2 IP Address:
170[.]130[.]165[.]112

Possibly Linked WarmCookie C2 IP Address:
192[.]36[.]57[.]164

Payload Servers:
45[.]32[.]69[.]11
138[.]68[.]250[.]216

CastleLoader Samples (SHA256):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CastleRAT Python Variant Samples (SHA256):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CastleRAT C Variant Samples (SHA256):
0fd7eb57f5f9d817dd497c1ce3be0791f5e798077f8dc2c3a4e2b2b0b0bdc2c6
5a741df3e4a61b8632f62109a65afc0f297f4ed03cd7e208ffd2ea5e2badf318
3dd877835c04fde3f2d14ce96f23a1c00002fefa9d731e8c4ce3b656aac90063
7e0d097412ca8c3acdbaaa7c1f79c42cda3a4e50b52c0a8b34d6c75cc764ce42
a67027c3dec4fc4a5a09c68950f494f631ee6aa42b85dd82d74c5b5399d08d19
66aac2857eee73b1f5f715214bb50a03c0dc052d4bb3e64d6b0b492f2c85f374
2fcb76dfdfcd390658bbc032faafef607804d5d4a2f1c0005f274ab2e06d8af4
a97ff41736299857a3cae7c1917456eef5e0fcc703d0a1e475d0b9cfe42452c7
7a682be245a2e51f473ee1c60d537e57423ab2c3d9ae990445cdb6e43aeb5c76
f2e36ccfeb225009ae229a2be905deff587c471b8d47690dc7f5111e1bc611af
ce6a7af556090b3ff762e27058be2327e6c5188d6ed54703d794089f577fd20c
39b40746de01af66c0e5ce5888df4c42e474adcdb4301275b1474423d7a0ff1f
9d356492e433e068c5e71f73638180e3f6a5d992e55ad496a8dafa5174e0a827
13a5c1a535c161fd2724423dad1dfa6885c705713569d4ed4f2ebf900df25ed7
b0b24ff78ab1c4322764bcb332254069504b168cb8aaca469bdf1d37f313d4d3
c2054617b8dcb619749c0402dc31eeb473386b3829f17176bc27b1447a8b6d92
60125159523c356d711ffa1076211359906e6283e25f75f4cf0f9dc8da6bf7b0
1ff6ee23b4cd9ac90ee569067b9e649c76dafac234761706724ae0c1943e4a75
d51f81ee026df39447143b67eaf16326c30e0c9477c0d50507f1fbfffe53abd6
e6bcdf375649a7cbf092fcab65a24d832d8725d833e422e28dfa634498b00928
67cf6d5332078ff021865d5fef6dc61e90b89bc411d8344754247ccd194ff65b
963c012d56c62093d105ab5044517fdcce4ab826f7782b3e377932da1df6896d
f2ff4cbcd6d015af20e4e858b0f216c077ec6d146d3b2e0cbe68b56b3db7a0be

SectopRAT Samples (SHA256):
ae78caabec6a4241c64357ca5ca05de2e181fe253963de528807bf051fc3608e
Af88dc52b37022583a6687214bb5e345b606c6a0a3f37cfe41576d89c3d8e65d

WarmCookie Samples (SHA256):
e62684a48067d8bf5f219f007bb5908301ca3303b9c57a2f0c3212cf0eb8d7b7

Pastebin URLs:
https://pastebin[.]com/raw/2wW91TbyCastleLoader

C2 IP Addresses:
62[.]60[.]226[.]73
62[.]60[.]226[.]211
62[.]60[.]226[.]254
79[.]132[.]130[.]142
80[.]77[.]23[.]48
85[.]158[.]108[.]135
94[.]159[.]113[.]123
107[.]158[.]128[.]45
107[.]158[.]128[.]90
170[.]130[.]165[.]37
173[.]44[.]141[.]89
173[.]232[.]146[.]90
185[.]212[.]47[.]84
185[.]219[.]220[.]128
213[.]209[.]150[.]229

CastleLoader C2 Domains:
cisco-webexxapp[.]xyz
estetic-online[.]com
higueruela[.]net
lekuvam[.]com
mhousecreative[.]com
notionus[.]org
oneyogasite[.]com
panelv1[.]hostingzealoft[.]today
polarcompany[.]org
rinasalleh[.]com
sftp[.]sagargolf[.]com
vilaoaza[.]com

CastleRAT Python and C C2 IP Addresses:
34[.]72[.]90[.]40
91[.]212[.]166[.]17
94[.]141[.]122[.]164
104[.]225[.]129[.]171
144[.]208[.]126[.]50
180[.]178[.]189[.]17
185[.]149[.]146[.]118
195[.]85[.]115[.]44
195[.]201[.]108[.]189

CastleRAT C2 Deaddrops:
steamcommunicty[.]com/id/tfy5d6gohu8tgy687r7
steamcommunity[.]com/id/krouvhsin34287f7h3
steamcommunity[.]com/id/huilo
steamcommunity[.]com/id/desdsfds34324y3g

SectopRAT C2 IP Addresses:
45[.]141[.]84[.]229
83[.]222[.]191[.]98
92[.]255[.]57[.]32
176[.]126[.]163[.]56
185[.]93[.]89[.]56
194[.]26[.]29[.]44
217[.]12[.]206[.]21

WarmCookie C2 IP Address:
170[.]130[.]165[.]112

Possibly Linked WarmCookie C2 IP Address:
192[.]36[.]57[.]164

CastleLoader Samples (SHA256):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CastleRAT Python Variant Samples (SHA256):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CastleRAT C Variant Samples (SHA256):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SectopRAT Samples (SHA256):
ae78caabec6a4241c64357ca5ca05de2e181fe253963de528807bf051fc3608e
Af88dc52b37022583a6687214bb5e345b606c6a0a3f37cfe41576d89c3d8e65d

WarmCookie Samples (SHA256) :
e62684a48067d8bf5f219f007bb5908301ca3303b9c57a2f0c3212cf0eb8d7b

Pastebin URLs :
https://pastebin[.]com/raw/2wW91Tby

Annexe B : Serveurs C2

Serveurs CastleLoader C2

Domain

IP Address

ASN

First Seen

Last Seen

sftp[.]sagargolf[.]com

62[.]60[.]226[.]73

AS214351 - FEMO IT SOLUTIONS LIMITED

2025-06-22

2025-08-20

sftp[.]sagargolf[.]com

62[.]60[.]226[.]211

AS214351 - FEMO IT SOLUTIONS LIMITED

2025-06-22

2025-08-20

N/A

62[.]60[.]226[.]254

AS214351 - FEMO IT SOLUTIONS LIMITED

2025-05-28

2025-06-15

higueruela[.]net

79[.]132[.]130[.]142

AS39378 - servinga GmbH

2025-07-23

2025-08-08

notionus[.]org

80[.]77[.]23[.]48

AS212228 - servinga GmbH

2025-05-09

2025-06-08

panelv1[.]hostingzealoft[.]today

85[.]158[.]108[.]135

AS59711 - HZ Hosting Ltd

2025-06-14

2025-08-26

cisco-webexxapp[.]xyz

94[.]159[.]113[.]123

AS216334 - New Hosting Technologies LLC

2025-04-26

2025-07-07

rinasalleh[.]com

107[.]158[.]128[.]45

AS62904 - Eonix Corporation

2025-06-30

2025-07-29

oneyogasite[.]com

107[.]158[.]128[.]90

AS62904 - Eonix Corporation

2025-07-24

2025-08-20

mhousecreative[.]com

170[.]130[.]165[.]37

AS62904 - Eonix Corporation

2025-04-29

2025-05-29

polarcompany[.]org

173[.]44[.]141[.]89

AS62904 - Eonix Corporation

2025-05-24

2025-06-19

estetic-online[.]com

173[.]232[.]146[.]90

AS62904 - Eonix Corporation

2025-07-24

2025-08-21

lekuvam[.]com

185[.]212[.]47[.]84

AS39378 - servinga GmbH

2025-06-27

2025-07-28

vilaoaza[.]com

185[.]219[.]220[.]128

AS39378 - servinga GmbH

2025-06-26

2025-08-08

sftp[.]sagargolf[.]com

213[.]209[.]150[.]229

AS214943 -

Virtualine Technologies

2025-06-24

2025-07-23

(source : Recorded Future)

Serveurs CastleRAT C2

IP Address

Port

ASN

Variante

RC4 Key

104[.]225[.]129[.]171

443

AS395092 -

Shock Hosting LLC

NanuchkaUpyachka

91[.]212[.]166[.]17

33334

AS198953 -

Proton66 LLC

N/A

94[.]141[.]122[.]164

33337, 33336

AS215826 -

Partner Hosting LTD

NanuchkaUpyachka

144[.]208[.]126[.]50

443

AS395092 -

Shock Hosting LLC

NanuchkaUpyachka

34[.]72[.]90[.]40

443

AS396982 -

Google LLC

NanuchkaUpyachka

185[.]149[.]146[.]118

33336

AS212701 - Hostinux Limited

ALB9SxZBzCqwPFnD

180[.]178[.]189[.]17

443, 33338

AS214351 - FEMO IT SOLUTIONS LIMITED

NanuchkaUpyachka
GerbertGerbertSS

195[.]85[.]115[.]44

443

AS399629 - BL Networks

NanuchkaUpyachka

195[.]201[.]108[.]189

33336

AS24940 - Hetzner Online GmbH

NM8KXjTTaxWJRgmL

45[.]61[.]136[.]81

AS399629 - BL Networks

Python et C

AeSIekwmgdISa3sa

(Python)

KeyKeyKluchCCCCp (version C)

45[.]11[.]180[.]174

80, 6666

AS212228 - servinga GmbH

Python

AeSIekwmgdISa3sa

102[.]135[.]95[.]102

7777

AS197450 - SUNUCUN

RandOmKey322666B

87[.]120[.]93[.]167

7777

AS215730 - H2NEXUS LTD

RandOmKey322666B

45[.]144[.]53[.]62

7777

AS215730 - H2NEXUS LTD

RandOmKey322666B

185[.]125[.]50[.]125

7777

AS215730 - H2NEXUS LTD

RandOmKey322666B

77[.]90[.]153[.]43

7777

AS214943 - Virtualine Technologies

RandOmKey322666B

185[.]208[.]158[.]250

7777

AS42624 - Global-Data System IT Corporation

RandOmKey322666B

79[.]132[.]131[.]200

7777

AS39378 -

servinga GmbH

RandOmKey322666B

45[.]11[.]180[.]198

7777

AS212228 -

servinga GmbH

RandOmKey322666B

185[.]196[.]9[.]222

7777

AS42624 - Global-Data System IT Corporation

RandOmKey322666B

77[.]238[.]241[.]203

7777

AS216071 - VDSINA

NanuchkaUpyachka

5[.]35[.]44[.]176

443

AS216071 - VDSINA

NanuchkaUpyachka

85[.]192[.]49[.]6

7777

AS215730 - H2NEXUS LTD

RandOmKey322666B

185[.]196[.]9[.]80

7777

AS42624 - Global-Data System IT Corporation

KeyKeyKluchCCCCp

185[.]196[.]10[.]8

7777

AS42624 - Global-Data System IT Corporation

RandOmKey322666B

85[.]208[.]84[.]115

7777

AS211659 -

Oniks LLC

RandOmKey322666B

91[.]202[.]233[.]250

AS200593 - PROSPERO OOO

Python

BeshBarMakwwwRTY

178[.]17[.]57[.]102

AS8661 - Telekomi i Kosoves SH.A.

KeyKeyKluchCCCCp

(source : Recorded Future)

Serveurs C2 de SectopRAT

IP Address

ASN

First Seen

Last Seen

45[.]141[.]84[.]229

AS206728
Media Land LLC

2025-06-16

2025-07-03

83[.]222[.]191[.]98

AS204428
SS-Net

2025-07-01

2025-07-22

92[.]255[.]57[.]32

AS57523

Chang Way Technologies Co. Limited

2025-02-06

2025-05-10

176[.]126[.]163[.]56

AS204957
GREEN FLOID LLC

2025-06-11

2025-06-12

185[.]93[.]89[.]56

AS213790
Réseau limité LTD

2025-08-09

2025-08-14

194[.]26[.]29[.]44

AS206728
Media Land LLC

2025-05-13

2025-06-13

(source : Recorded Future)

Serveurs C2 WarmCookie

IP Address

ASN

First Seen

Last Seen

170[.]130[.]165[.]112

AS62904 - Eonix Corporation

2025-06-05

2025-07-06

(source : Recorded Future)

TAG-150 Charge utile Serveurs C2

Domain

IP Address

ASN

First Seen

Last Seen

bytehub[.]asia

Cloudflare

AS13335

2025-06-07

2025-08-19

teamsi[.]org

Cloudflare

AS13335

2025-06-27

2025-08-05

teamsio[.]com

Cloudflare

AS13335

2025-08-08

2025-08-19

teamsoftdigital[.]com

138[.]68[.]250[.]216

AS14061 -

Digital Ocean LLC

2025-08-04

2025-08-08

programsbookss[.]com

45[.]32[.]69[.]11

AS20473 - Vultr Holdings, LLC

2025-07-02

2025-08-17

(source : Recorded Future)

Annexe C : Techniques MITRE ATT&CK

Tactic: Technique

ATT&CK Code

Initial Access: Phishing

T1566

Accès initial : compromission par drive-by

T1189

Exécution : Exécution par l'utilisateur : Fichier malveillant

T1204.002

Exécution : Exécution par l'utilisateur : Copier-coller malveillant

T1204.004

Exécution : Interpréteur de commandes et de scripts : PowerShell

T1059.001

Exécution : Interprète de commandes et de scripts : AutoHotKey & AutoIT

T1059.010

Resource Development: Acquire Infrastructure: Domains

T1583.001

Resource Development: Acquire Infrastructure: Virtual Private Server

T1583.003

Resource Development: Acquire Infrastructure: Server

T1583.004

Développement des ressources : Acquérir l'accès

T1650

Développement des ressources : Obtenir des capacités : Outil

T1588.002

Développement des ressources : Compromettre les comptes : Comptes de messagerie

T1586.002

Évasion de la défense : Déguisement

T1036

Command and Control: Proxy: External Proxy

T1090.002

Commandes et contrôles : Protocole de couche application : protocoles Web

T1071.001

Command and Control : Transfert d'outils d'intrusion

T1105

Collecte : Données du système local

T1005

Annexe D : Règles de la YARA

Chargeur de château

rule MAL_CastleLoader {
 meta :
 author = "Insikt Group, Recorded Future"
 date = "2025-08-06"
 description = "Détection de l'exécutable du logiciel malveillant CastleLoader"
 version = "1.0"
        référence = "https://www.ibm.com/think/x-force/dissecting-castlebot-maas-operation"
        hash = "1b6befc65b19a63b4131ce5bcc6e8c0552fe1e1d136ab94bc7d81b3924056156"
 hash = "202f6b6631ade2c41e4762e5877ce0063a3beabce0c3f85b6499a1164c1e04"
       hash = "25e0008aba82690e0f58c9d9fcbc5d49820aa78d2f7bfcd0b85fb969180fc04"
 hash = "b45cce4ede6ffb7b6f28f75a0cbb60e65592840d98dcb63155b9fa0324a88be2"
       hash = "fb9de7448e9e30f717c171f1d1c90ac728803a16ad385757aeecc853479d3c"
 hash = "6444f0e3f78254aef663837562d258a2236a77f810ee8d832de7d83e0fdd5783"
       malware = "CastleLoader"
 malware_id = "8RF9P9"
 category = "MALWARE"
 strings :
       $vmware_check = { 3D 56 4D 77 61 75 ??  81 7D F8 72 65 56 4D 0F 85 ? ? ? ? ? ? ? ? 81 7D F4 77 61 72 65 }
       $api_hashing = { 0F BE 0C 1E 8B C2 F6 C3 01 75 0F C1 E8 03 0F AF C1 8B CA C1 E1 07 33 C1 }
       $stack_str_url = { C7 ?5 [1-4] 74 00 74 00 C7 ?5 [1-4] 69 00 6E 00 C7 ?5 [1-4] 67 00 73 00 }
       $mov_edx_apihash1 = { BA 44 A0 2D 39 } // CreateMutexW
 $mov_edx_apihash2 = { BA 2B C2 86 58 } // GetLastError
 $mov_edx_apihash3 = { BA 94 F9 86 F8 } // RtlAllocateHeap
 $mov_edx_apihash4 = { BA B2 48 70 60 } // ExitProcess
 condition :
 uint16(0) == 0x5A4D et tous
}

CastleRAT Variante Python

rule MAL_CastleRAT_Python {
 meta :
 author = "Insikt Group, Recorded Future"
 date = "2025-08-18"
 description = "Détection de la variante python du logiciel malveillant CastleRAT"
 version = "1.0"
        référence = "https://www.ibm.com/think/x-force/dissecting-castlebot-maas-operation"
        référence = "https://catalyst.prodaft.com/public/report/understanding-current-castleloader-campaigns/overview"
        hash = "94dc0f696a46f3c225b0aa741fbd3b8997a92126d66d7bc7c9dd8097af0de52a"
 hash = "53775af67e9df206ed3f9c0a3756dbbc4968a77b1df164e9baddb51e61ac82df"
 malware = "CastleRAT"
 malware_id = "9WCga-"
       category = "MALWARE"
 strings :
       $cmd1 = "S_CONNECT" fullword
 $cmd2 = "S_COMMAND" fullword
 $cmd3 = "S_PING" fullword
 $cmd4 = "S_CMD" fullword
 $cmd5 = "S_DELETE" fullword
 $cmd6 = "S_POWERSHELL" fullword $cmd7 = "S_START_TERMINAL" fullword
 $cmd8 = "S_SESSION_MESSAGE" fullword
 $cmd9 = "S_UPLOAD" fullword
 $fun1 = "CheckElevation() :" fullword
 $fun2 = "GetHWID("
 $fun3 = "GetOS("
 $fun4 = "GetIpGeo("
 $fun5 = "rc4createkeyA("
       $fun6 = "EncryptDecryptBufA("
 $fun7 = "RecvTimeout("
 $fun8 = "Send("
 $fun9 = "Connect(" $fun10 = "ThreadPing("
 $fun11 = "ThreadRecvTerminal("
 $fun12 = "ThreadTerminalSession("
 $fun13 = "ThreadUploadFile("
 $fun14 = "SelfDelete()" fullword
 condition :
       filesize < 50KB et
 7 of ($cmd*) and
 10 of ($fun*)
}

CastleRAT C Variante

rule MAL_CastleRAT_C {
    meta:
        author = "Insikt Group, Recorded Future"
        date = "2025-08-18"
        description = "Detection of the C variant of CastleRAT malware"
        version = "1.0"
        reference = "https://www.ibm.com/think/x-force/dissecting-castlebot-maas-operation"
        reference = "https://catalyst.prodaft.com/public/report/understanding-current-castleloader-campaigns/overview"
        hash = "1ff6ee23b4cd9ac90ee569067b9e649c76dafac234761706724ae0c1943e4a75"
        hash = "e6bcdf375649a7cbf092fcab65a24d832d8725d833e422e28dfa634498b00928"
        hash = "67cf6d5332078ff021865d5fef6dc61e90b89bc411d8344754247ccd194ff65b"
        hash = "963c012d56c62093d105ab5044517fdcce4ab826f7782b3e377932da1df6896d"
        hash = "60125159523c356d711ffa1076211359906e6283e25f75f4cf0f9dc8da6bf7b0"
        malware = "CastleRAT"
        malware_id = "9WCga-"
        category = "MALWARE"
    strings:
        $ = "keylog.txt" fullword wide
        $ = "(VPN)" wide ascii
        $ = "rundll32 \"C:\\Windows\\System32\\shell32.dll\" #61"  wide
        $ = "\"%ws\" --mute-audio --do-not-de-elevate" fullword wide
        $ = "\"%ws\" -no-deelevate" fullword wide
        $ = "IsWindowVisible" fullword ascii
        $ = "camera!" fullword wide
        $ = "UAC_InputIndicatorOverlayWnd" fullword wide
        $ = "-----------------------------------------" fullword wide
        $ = "[%02d:%02d %02d.%02d.%02d] %ws" fullword wide
        $ = "C:\\Windows\\System32\\cmd.exe" fullword wide
        $ = "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe" fullword wide
        $ = "www.ip-api.com" fullword wide
        $ = "MachineGuid" fullword wide
        $ = "line/?fields=" wide
     condition:
       uint16(0) == 0x5a4d and all of them
}

Annexe E : Règle de Sigma

title : CastleRAT Python Malware Self Deletion
id : 1050a0c4-1110-4b55-938c-0d27259ddd1e
status : stable
description : Détecte l'exécution de powershell par la variante Python du logiciel malveillant CastleRAT pour s'autodétruire.
Références :
 - https://tria.ge/250822-r3a6qaak2t
auteur : Insikt Group, Recorded Future
date : 2025-08-28
tags :
 - attack.t1070.004 # Indicator Removal : Suppression de fichiers
logsource :
 product : windows
 category : process_creation
detection :
 self_delete :
       CommandLine|endswith : 'powershell Start-Sleep -Seconds 4 ; Remove-Item -Path '*' -Force ; exit'
 condition : self_delete
level : high
falsepositives :
 - Activité d'installation potentiellement bénigne

title : CastleRAT C Variant Malware Log File Creation
id : 4d785ac8-17fe-4765-b427-9a31073ad1a7
status : stable
description : Détecte les événements de création de fichiers journaux de la variante C du logiciel malveillant CastleRAT. Le fichier journal est utilisé pour stocker les données du keylogger et du voleur de presse-papiers.
Références :
 - https://tria.ge/250701-v6911aykv9
auteur : Insikt Group, Recorded Future
date : 2025-08-29
level : high
tags :
 - attack.t1608 # Stage Capabilities
 - attack.t1074.001 # Data Staged - Local Data Staging
 - attack.t1115 # Clipboard Data
 - attack.t1056.001 # Keylogging
logsource :
 product : windows
 category : file_event
detection :
 castlerat_logs :
   TargetFilename|endswith :
     - '\AppData\Local\Temp\MuuuuuhGer3'
 - '\AppData\Local\Temp\PluhhSuk3'
 - '\AppData\Local\Temp\AsdDsaHaha3'
 - '\AppData\Local\Temp\ChuChuka'
 - '\AppData\Local\Temp\GagikMaraguiSS'
 - \AppData\Local\Temp\LowUshrSudujes'
 - '\AppData\Local\Temp\RarnuiKarta'
 - '\AppData\Local\Temp\GrazGraznii'
 - '\AppData\Local\Temp\GiveGvein3'
 - '\AppData\Local\Temp\BeruiowdgsouiHTR' - '\AppData\Local\Temp\GDSongdsgndohSDU'
 condition : castlerat_logs
falsepositives :
 - Peu probable

Annexe F : Règles Snort

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"CastleLoader Malware Outbound Checkin"; flow:established,to_server; content:"GET"; http_method; urilen:82,norm; content:"|2F|service|2F|settings|2F|"; http_uri; fast_pattern; content:"Cache-Control|3A 20|no-cache|0D 0A|Connection|3A 20|Keep-Alive|0D 0A|Pragma|3A 20|no-cache|0D 0A|User-Agent|3A 20|"; http_header; depth:79; content:"Host|3A 20|"; http_header; distance:0; content:!"Accept"; http_header; pcre:"/User\x2dAgent[^\x0d]+\x0d\x0aHost\x3a\x20[^\x0d]+\x0d\x0a\x0d\x0a/"; reference:url,https://catalyst.prodaft.com/public/report/understanding-current-castleloader-campaigns/overview; classtype:trojan-activity; sid:52460302; rev:1; metadata:author MGUT, created_at 2025-07-24, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"CastleLoader Malware Outbound Payload Request"; flow:established,to_server; content:"GET"; http_method; content:"|2F|service|2F|download|2F|"; http_uri; fast_pattern; content:"Cache-Control|3A 20|no-cache|0D 0A|Connection|3A 20|Keep-Alive|0D 0A|Pragma|3A 20|no-cache|0D 0A|User-Agent|3A 20|"; http_header; depth:79; content:"Host|3A 20|"; http_header; distance:0; content:!"Accept"; http_header; pcre:"/User\x2dAgent[^\x0d]+\x0d\x0aHost\x3a\x20[^\x0d]+\x0d\x0a\x0d\x0a/"; reference:url,https://catalyst.prodaft.com/public/report/understanding-current-castleloader-campaigns/overview; classtype:trojan-activity; sid:52460303; rev:1; metadata:author MGUT, created_at 2025-07-24, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"CastleLoader Malware Stager Outbound Payload Request"; flow:established,to_server; content:"GET"; http_method; content:"|2F|service|2F|download|2F|"; http_uri; depth:18; fast_pattern; content:".bin"; http_uri; content:"User-Agent|3A 20|GoogeBot|0D 0A|"; http_header; reference:url,https://catalyst.prodaft.com/public/report/understanding-current-castleloader-campaigns/overview; classtype:trojan-activity; sid:52460304; rev:1; metadata:author MGUT, created_at 2025-08-12, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)

alert http $HOME_NET any -> $EXTERNAL_NET any (msg :"Possible CastleRAT Python Malware Outbound Request To IP Geo Location Service ip-api"; flow:established,to_server ; content :"GET"; http_method ; urilen:19,norm ; content :"|2F|line|2F 3F|fields|3D|16385"; http_uri ; depth:19 ; fast_pattern ; content :"Connection|3A 20|Keep-Alive|0D 0A|Host|3A 20|www.ip-api.com|0D 0A 0D 0A|"; http_raw_header ; depth:48 ; reference:url,https://tria.ge/250808-w4hpeaxtcw ; classtype:trojan-activity ; sid:52460315 ; rev:1 ; metadata:author MGUT, created_at 2025-08-24, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control ;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg :"Possible CastleRAT C Variant Malware Outbound Request To IP Geo Location Service ip-api"; flow:established,to_server ; content :"GET"; http_method ; urilen :20,norm ; content :"|2F|line|2F 3F|fields|3D|147457"; http_uri ; depth:20 ; fast_pattern ; content :"Connection|3A 20|Keep-Alive|0D 0A|Host|3A 20|www.ip-api.com|0D 0A 0D 0A|"; http_header ; depth:48 ; reference:url,https://tria.ge/250822-vwt7ssxly9 ; classtype:trojan-activity ; sid:52460316 ; rev:1 ; metadata:author MGUT, created_at 2025-08-24, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control ;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg :"Possible CastleRAT C Variant Malware Outbound Request To IP Geo Location Service ip-api"; flow:established,to_server ; content :"GET"; http_method ; urilen :20,norm ; content :"|2F|line|2F 3F|fields|3D|147505"; http_uri ; depth:20 ; fast_pattern ; content :"Connection|3A 20|Keep-Alive|0D 0A|Host|3A 20|www.ip-api.com|0D 0A 0D 0A|"; http_header ; depth:48 ; reference:url,https://tria.ge/250814-wyqstsyjx3 ; classtype:trojan-activity ; sid:52460317 ; rev:1 ; metadata:author MGUT, created_at 2025-08-24, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control ;)

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CastleRAT Malware Outbound Handshake"; flow:established,to_server; dsize:20; stream_size:server,=,1; content:"|02 56 77 8E A5 83 D7 05 02 C2 1E D9 70 5A 47 E5 11 92 B5 5A|"; fast_pattern; depth:20; reference:url,https://tria.ge/250808-w4hpeaxtcw; classtype:trojan-activity; sid:52460307; rev:1; metadata:author MGUT, created_at 2025-08-18, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CastleRAT Malware Outbound Handshake"; flow:established,to_server; dsize:20; stream_size:server,=,1; content:"|BF CF 04 82 45 DF 4F 09 55 5E 0B 15 9F E2 91 A0 68 51 1E 87|"; fast_pattern; depth:20; reference:url,https://tria.ge/250814-wyqstsyjx3; classtype:trojan-activity; sid:52460308; rev:1; metadata:author MGUT, created_at 2025-08-18, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CastleRAT Malware Outbound Handshake"; flow:established,to_server; dsize:20; stream_size:server,=,1; content:"|6B 13 5C 08 BD 49 59 75 79 62 4E EA 2F DE 57 F4 6E 08 8B 6B|"; fast_pattern; depth:20; reference:url,https://tria.ge/250219-nsbsqazpep; classtype:trojan-activity; sid:52460309; rev:1; metadata:author MGUT, created_at 2025-08-18, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CastleRAT Malware Outbound Handshake"; flow:established,to_server; dsize:20; stream_size:server,=,1; content:"|56 EA 59 DB 6B DD 36 81 42 01 C6 84 DF 5A 6B E8 38 14 8D 07|"; fast_pattern; depth:20; reference:url,https://tria.ge/250505-wmbvjabk3t; classtype:trojan-activity; sid:52460310; rev:1; metadata:author MGUT, created_at 2025-08-18, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CastleRAT Malware Outbound Handshake"; flow:established,to_server; dsize:20; stream_size:server,=,1; content:"|A8 CF 1E 1D BA 27 49 FB 63 38 F4 52 A7 9C 39 CF 4A 85 E5 5B|"; fast_pattern; depth:20; reference:url,https://tria.ge/250822-vwt7ssxly9; classtype:trojan-activity; sid:52460311; rev:1; metadata:author MGUT, created_at 2025-08-22, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CastleRAT Malware Outbound Handshake"; flow:established,to_server; dsize:20; stream_size:server,=,1; content:"|0F 0D F7 66 4C B2 D5 12 BA 55 CC BB 2E 1B F4 AD C0 E0 7C A2|"; fast_pattern; depth:20; reference:url,https://tria.ge/250822-rt355svtfs; classtype:trojan-activity; sid:52460312; rev:1; metadata:author MGUT, created_at 2025-08-22, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CastleRAT Malware Outbound Handshake"; flow:established,to_server; dsize:20; stream_size:server,=,1; content:"|74 6F D9 7F B5 48 F6 91 26 E0 16 5A 81 29 4F 35 21 6C 61 82|"; fast_pattern; depth:20; reference:url,https://tria.ge/250813-a7c3fadl7z; classtype:trojan-activity; sid:52460313; rev:1; metadata:author MGUT, created_at 2025-08-22, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CastleRAT Malware Outbound Handshake"; flow:established,to_server; dsize:20; stream_size:server,=,1; content:"|61 57 7C E8 EE BE 56 71 B3 98 F4 A6 87 E3 0C 39 50 0C 29 41|"; fast_pattern; depth:20; reference:url,https://tria.ge/250822-vwt7ssxly9; classtype:trojan-activity; sid:52460314; rev:1; metadata:author MGUT, created_at 2025-08-22, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"Possible CastleRAT Python Malware Outbound Request To IP Geo Location Service ip-api"; flow:established,to_server;  content:"GET"; http_method; urilen:19,norm; content:"|2F|line|2F 3F|fields|3D|16385"; http_uri; depth:19; fast_pattern; content:"Connection|3A 20|Keep-Alive|0D 0A|Host|3A 20|www.ip-api.com|0D 0A 0D 0A|"; http_raw_header; depth:48; reference:url,https://tria.ge/250808-w4hpeaxtcw; classtype:trojan-activity; sid:52460315; rev:1; metadata:author MGUT, created_at 2025-08-24, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Possible CastleRAT C Variant Malware Outbound Request To IP Geo Location Service ip-api"; flow:established,to_server;  content:"GET"; http_method; urilen:20,norm; content:"|2F|line|2F 3F|fields|3D|147457"; http_uri; depth:20; fast_pattern; content:"Connection|3A 20|Keep-Alive|0D 0A|Host|3A 20|www.ip-api.com|0D 0A 0D 0A|"; http_header; depth:48; reference:url,https://tria.ge/250822-vwt7ssxly9; classtype:trojan-activity; sid:52460316; rev:1; metadata:author MGUT, created_at 2025-08-24, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Possible CastleRAT C Variant Malware Outbound Request To IP Geo Location Service ip-api"; flow:established,to_server;  content:"GET"; http_method; urilen:20,norm; content:"|2F|line|2F 3F|fields|3D|147505"; http_uri; depth:20; fast_pattern; content:"Connection|3A 20|Keep-Alive|0D 0A|Host|3A 20|www.ip-api.com|0D 0A 0D 0A|"; http_header; depth:48; reference:url,https://tria.ge/250814-wyqstsyjx3; classtype:trojan-activity; sid:52460317; rev:1; metadata:author MGUT, created_at 2025-08-24, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)