CastleLoaderからCastleRATへ:TAG-150が多層インフラストラクチャで運用を強化
Executive Summary
Insikt Group 、少なくとも2025年3月から活動している新しい脅威アクター、TAG-150を特定し、急速な開発、技術的洗練、国民への対応力、および大規模で進化するインフラストラクチャを特徴としています。 TAG-150 にリンクされたインフラストラクチャには、複数のマルウェア ファミリのコマンド アンド コントロール (C2) サーバーとして使用される IP アドレスやドメインなど、被害者向けの Tier 1 コンポーネントと、複数のレイヤーで構成される上位のインフラストラクチャの両方が含まれます。2025年3月に登場して以来、TAG-150は、CastleLoaderとCastleBotをはじめ、最近ではリモートアクセス型トロイの木馬であるCastleRATなど、自社開発と思われる複数のマルウェアファミリーを展開してきました。さらに、 Insikt Group は、ファイル共有プラットフォーム、検知防止サービスなど、TAG-150 によって利用されている可能性が高い複数のサービスを特定しました。
TAG-150に対して保護するには、セキュリティ防御者は、関連するローダー、インフォスティーラー、RATに関連付けられたIPアドレスとドメインをブロックし、Pastebinなどの異常なLISへの接続にフラグを立ててブロックする可能性があり、更新された検知ルール(YARA、Snort)を展開する必要があります。 その他の制御には、電子メール フィルタリングの実装とデータ流出監視が含まれます。実装ガイダンスについては「 軽減策」 セクションを、侵害、ハッキング (IoC) の指標の完全なリストについては付 録 A を参照してください。 長期的には、アナリストはサイバー犯罪エコシステムの新たな脅威を継続的に監視し、それに応じて制御を適応させる必要があります。
主な調査結果
- Insikt Group は、CastleLoader などのマルウェアの展開で知られる TAG-150 として追跡された脅威アクターによって運営されている大規模なインフラストラクチャ セットを発見しました。インフラストラクチャは多層モデルに従っており、被害者向けの Tier 1 サーバーと、上位レベルの Tier 2、Tier 3、および Tier 4 インフラストラクチャを備えています。
- さらに、Insikt Group は、TAG-150 にリンクされた CastleRAT と呼ばれる新しいリモート アクセス トロイの木馬を特定しました。Python と C の両方のバリアントで利用できる CastleRAT のコア機能は、システム情報の収集、追加のペイロードのダウンロードと実行、CMD と PowerShell を介したコマンドの実行で構成されます。
- さらなる分析により、複数のファイル共有サービス、メッセージングプラットフォーム、および検知防止サービスKleenscan(kleenscan[.]com)に入力します。
背景
TAG-150 は、マルウェア ファミリ CastleLoader、CastleBot、そして最近では CastleRAT の開発と使用に関連する脅威アクターに対する Insikt Group の指定です。少なくとも2025年3月から活動しています( 図1参照)。これらのマルウェア ファミリは、SectopRAT、WarmCookie、HijackLoader、NetSupport RAT などの幅広いセカンダリ ペイロードや、Stealc、RedLine Stealer、Rhadamanthys Stealer、DeerStealer、MonsterV2 などの多数の情報窃取者を配信する初期感染ベクトルとして頻繁に観察されます (1, 2)。
図 1 : TAG-150 の活動のタイムライン (情報源: Recorded Future )
感染は、Cloudflareをテーマにした「ClickFix」フィッシング攻撃や、正規のアプリケーションを装った不正なGitHubリポジトリによって最も一般的に開始されます。オペレーターは、ソフトウェア開発ライブラリ、オンライン会議プラットフォーム、ブラウザ更新 (脅威)アラート、およびドキュメント検証システムを模倣するドメインを活用して、ClickFix 技術を採用しています。 被害者はだまされて、悪意のある PowerShell コマンドを自分のデバイスでコピーして実行させ、それによって侵害、ハッキング。 Public (脅威についての)レポート作成によると、 全体的なクリックとダウンロードは制限されていましたが、悪意のあるリンクを操作した被害者の感染率が 28.7% であることは、TAG-150 の有効性を裏付けています。
以前の公開(脅威についての)レポート作成は、TAG-150がMalware-as-a-Service(MaaS)モデルで動作することを 示唆しており 、これは、さまざまな第2段階のペイロードの配信での使用、観察されたCastleLoader管理パネルの数、およびMaaSプラットフォームに一般的に関連付けられている機能の存在によってサポートされています(PRODAFTが 指摘 しているように)。 ただし、Insikt Groupは、アンダーグラウンドフォーラムでそのようなサービスの広告や議論を特定していません。さらに、Recorded Future Network Intelligence の分析によると、TAG-150 は主に関連するインフラストラクチャと対話し、外部の顧客または関連会社にリンクされている可能性のある少数の他の IP アドレスのみが通信していることが示唆されています。このネットワーク トラフィックは、外部の顧客や関連会社に関連している可能性があり、主に Tor ノードに接続されているため、分類が複雑になります。
インフラストラクチャ分析
Insikt Groupは、TAG-150に関連する広範な多層インフラストラクチャを特定しました。このインフラストラクチャは、CastleLoader、SecTopRAT、WarmCookie、新たに発見されたCastleRATなどのマルウェアファミリに関連する被害者向けC2サーバーと、バックアップ目的で使用される可能性が高いTier 2、Tier 3、Tier 4サーバーで構成されています。図 2 はインフラストラクチャ全体の概要を示し、後続のセクションでは各コンポーネントについて詳しく説明します。
図 2 : TAG-150 にリンクされた多層インフラストラクチャ (情報源: Recorded Future )
多層構造のインフラストラクチャ
ティア1
Tier 1 インフラストラクチャは、CastleLoader、CastleRAT、SecTopRAT、WarmCookie など、さまざまなマルウェア ファミリに関連付けられた多数の C2 サーバーで構成されています。これらのサーバーは通常、Tier 2 サーバーを通じて管理されますが、場合によっては、Tier 3 サーバーがサーバーと直接対話します。
キャッスルローダー
Insikt Groupは、 付録Bに概説されているように、TAG-150に関連するかなりの数のCastleLoader C2サーバーを特定しました。これらのサーバーの IP アドレスは、多くの場合、NameCheap, Inc. または TUCOWS, INC. を通じて登録されたドメインをホストしますが、ドメインは一貫した命名規則に準拠していません。CastleLoader C2 インフラストラクチャはさまざまな自律システム番号 (ASN) で観察されていますが、かなりの部分は GmbH、FEMO IT SOLUTIONS LIMITED、および Eonix Corporation にサービスを提供するホスティング プロバイダーに関連付けられています。FEMO IT SOLUTIONS LIMITEDは、脅威活動イネーブラー(TAE)として評価され、Insikt Groupによって積極的に追跡されています。
分析したドメインのうち、 panelv1[.]hostingzealoft[.]今日既知のホスティング プロバイダーである HostingZealot[.]com、このドメインに関連付けられた IP アドレスもホストします。この名前が選ばれた理由は不明のままです。これを超えて、TAG-150は、他のドメイン全体で一貫した命名規則やテーマパターンに従っていないようです。
CastleLoader管理パネル
Insikt Groupが観察したほとんどのCastleLoader C2サーバーは、主にポート80でC2機能と、通常はポート5050でホストされ、場合によってはポート9999でホストされる管理パネルの両方を提供します。図 3 は、CastleLoader 管理パネルの例を示しています。
図 3: CastleLoader C2 管理パネル (情報源: URLScan)
キャッスルラット
以前に報告された CastleLoader と CastleBot に加えて、Insikt Group は CastleRAT と呼ばれる新しいマルウェア ファミリを特定しました。Insikt Group は、CastleRAT の C と Python の両方の亜種を発見しました。付録 B には、通常、ポート 80、443、7777 で公開され、他のポートでも公開される CastleRAT C2 サーバーがリストされています。CastleRAT C2 サーバーは複数の ASN で観察されており、特に注目すべきインスタンスの 1 つは Google Cloud IP アドレスでホストされています。
SectopRAT
Insikt Groupは、TAG-150に関連する少なくとも7台のSectopRAT C2サーバーを特定し、そのうち6台はTAG-150の上位インフラストラクチャを介してアクセスされていました( 付録Bを参照)。C2 通信のプライマリ チャネルは、TCP ポート 15647、15747、15847、15947、14367、または 9000 です。付録Bでは、最初と最後に確認された日付は、これらのサーバーがTAG-150の上位インフラストラクチャと通信していることが観察された最も古いインスタンスと最新のインスタンスを表しています。IP アドレス 92[.]255[.]57[.]32名TAG-150の上位インフラとの通信は観察されていない。ただし、被害者間で重複が観察されたため、TAG-150 に関連していると評価されます。
分析中に、Insikt Group は IP アドレス 91[.]210[.]164[.]26、これは TAG-150 に関連している可能性がありますが、TAG-150 の上位インフラストラクチャと通信しているのは観察されていません。特に、IPアドレスは176[.]126[.]163[.]56共通名 krona186380 の自己署名 Transport Layer Security (TLS) 証明書をホストします。分析中に、Insikt Group は IP アドレス 91[.]210[.]164[.]26同じ ASN 内で、共通名 krona184679 の同様の自己署名 TLS 証明書を提示しました。この IP アドレスとのサンプルや上位レベルのインフラストラクチャ通信は観察されていませんが、Insikt Group は、これらの類似性により TAG-150 にリンクされている可能性があると評価しています。
分析中に、Insikt Group は IP アドレス 91[.]210[.]164[.]26,これは TAG-150 に関連している可能性がありますが、TAG-150 の上位インフラストラクチャと通信しているのは観察されていません。
ウォームクッキー
Insikt Groupは、 付録Bに詳述されているように、TAG-150に関連する少なくとも1つのWarmCookie C2サーバーを特定しました。この同じIPアドレスは、CastleLoaderに関連して以前に 報告 されていました。観測された WarmCookie サンプルにリンクされたキャンペーン ID は traffic1 で traffic2でした。キャンペーン ID の SHA256 ハッシュは、正しい後続ペイロードを取得するための前提条件であると思われる CastleLoader GET リクエスト エンドポイントを構築するために使用されます。
ティア2
Insikt Group は、被害者向けの Tier 1 サーバーと Tier 3 インフラストラクチャの間の仲介者として機能している可能性が高い Tier 2 VPS サーバーを特定しました。具体的には、TAG-150 は RDP ポート 3389 経由で Tier 2 サーバーにアクセスし、その後、他のさまざまなポートを介して Tier 1 サーバーに接続することが観察されました。CastleLoader、CastleRAT、SectopRAT、WarmCookieなどとの接続が観察されました。特に、いくつかの例では、TAG-150 が Tier 2 を完全にバイパスし、Tier 3 レイヤーから Tier 1 サーバーに直接接続しました。Insikt Groupは、この行動を、TAG-150に関連する同じオペレーターによる操作手順の変更、または異なるオペレーターが別の方法を採用した結果として評価しています。
ティア3
TAG-150のTier 3インフラストラクチャは2つの部分に分かれているようです。一方では、Insikt Groupは、すべて同じTLS証明書を使用している一連のVPSサーバーを特定し、1つのサーバーは、トラフィックが多いことに基づいてハブとして際立っており、次のセクションで説明するTier 4として評価されるものへのリンクが観察されました。
これとは別に、Insikt Group は、Tier 3 と評価されたロシアの住宅用 IP アドレスを特定し、Tier 2 サーバーと Tier 1 サーバーの両方と通信していることが観察されています。ロシアのIPアドレスはAS35807(AS-SKYNET-SPB)によって発表されます。VPS インフラストラクチャと住宅用 IP アドレスの間のこの分離は、TAG-150 に関連付けられた 2 番目のオペレーターの存在を示している可能性があります。注目すべきは、ロシアの住宅用 IP がデフォルトのユーザー データグラム プロトコル (UDP) ポート 33445 を介して Tox サーバーと定期的に通信していることが観察されており、TAG-150 が内部通信に Tox を利用していることを示唆しています。
ティア4
プライマリ Tier 3 サーバーは、Insikt Group がバックアップ サーバーの可能性であると評価している別のサーバーと、数週間にわたる永続的なハイポート間 UDP セッションを介して通信していることが観察されています。このサーバーは、Tier 4 サーバーとして追跡されます。Tier 4 サーバーは、AS204601 (ON-LINE-DATA) によって発表された IP アドレスに関連付けられており、少なくとも 1 つのインスタンスで CastleLoader パネルと直接通信していることが観察されましたが、このアクティビティは運用上のセキュリティの不備として評価されました。
さらに、Insikt Group は、Tier 4 の一部である可能性が高い別のサーバー セットを特定しました。
TAG-150 で使用されるサービス
Insikt Groupは、Recorded Future Network Intelligenceやその他の情報源を使用してTAG-150の活動を監視することで、TAG-150がさまざまな運用リソースを活用している可能性が高いと評価しました。これらには、安全なメッセージング プラットフォームなどのプライバシー重視のアプリケーションにインフラストラクチャを提供する Oxen ネットワーク (旧 Lokinet) が含まれます。Kleenscan (kleenscan[.]com)、最近解体されたAVCheckの代替品。ファイル共有サービス temp[.]シュ;暗号通貨取引所 SimpleSwap[.]io;ファイルホスティングサービス Mega[.]ニュージーランド;さらに、このグループも使用する可能性が高いエクスプロイトフォーラム。Insikt Groupは以前、AVCheckの混乱後、Lummaの関連会社を含む他のサイバー犯罪者がKleenscanを使用し始めたと 指摘 していました。2025年6月、Insikt Groupは、TAG-150が 185[.]39[.]19[.]164.
ペイロード配信インフラストラクチャ
Insikt Groupは、CastleLoaderに関連するいくつかのペイロード配信ドメインを発見しましたが、そのほとんどは1つの例外を除いてCloudflareの背後でホストされています。関連するすべての指標は 付録Bに記載されています。
潜在的な遊び Ransomware アクティビティ
TAG-150 アクティビティの調査中に、Insikt Group は、IP アドレス 107[.]158[.]128[.]45名WarmCookie C2 サーバー192[.]36[.]57[.]164.注目すべきは、この WarmCookie C2 サーバーが、既知の Play Ransomware 被害者にリンクされた IP アドレスを含むネットワーク流出で観察されたことです。 流出のタイミングは被害組織の Play Ransomware 侵害、ハッキングと一致するため、 Insikt Group は Play Ransomware またはその関連会社の 1 つが CastleLoader を使用した可能性があると評価しています。
Insikt Groupは、特定のWarmCookieインスタンスとCastleLoaderインスタンスをリンクする完全な感染チェーンは見つかりませんでしたが、CastleLoaderを介して展開された同じミューテックスを持つWarmCookieサンプルが特定されました。この発見により、WarmCookieサンプルが192[.]36[.]57[.]164名CastleLoader を通じても展開されていたため、 107[.]158[.]128[.]45.
ただし、現在まで、Play Ransomware を WarmCookie または CastleLoader に関連付けた公開 (脅威についての)レポート作成はありません。 したがって、被害者が複数の脅威アクターの標的となった可能性が残っており、WarmCookie 感染は Play Ransomware インシデントとは無関係でした。
キャッスルラット
CastleRATは、次の共通点を共有するCおよびPythonバリアントを含むRATです。
- ハードコードされた 16 バイトの鍵で RC4 暗号化を使用するカスタムバイナリプロトコル
- 位置情報 API ip-api[.]com を使用して、感染したホストのパブリック IP アドレスを介して位置情報やその他の情報を取得します。
- 実行可能ファイルのダウンロードと実行
- リモートシェル
CastleRAT の C バリアントには、キーロギングや画面キャプチャなどのより高度な盗用機能も含まれています。どちらのバリアントも継続的に開発中です。たとえば、Steam コミュニティ ページでホストされている C2 デッドドロップは、2025 年 8 月下旬に初めて観察された新しい開発です ( 図 4 を参照)。
図 4 : デッド ドロップ解決に Steam コミュニティを使用した TAG-150 の CastleRAT (情報源: Recorded Future )
特に、CastleRATはこれまでのところCastleLoaderと一緒に展開されていることが観察されており、そのインフラストラクチャはTAG-150との明確なリンクを示していますが、これは必ずしもCastleRATがCastleLoaderの背後にいる同じアクターによって開発されたことを示すものではありません。マルウェアが他の場所で入手された可能性は残っています。
CastleRAT Python バリアント
CastleRAT は、2025 年 8 月初旬に Insikt Group によって CastleLoader ペイロードとして初めて特定された軽量 RAT です。特に、このマルウェアの Python 亜種は 8 月下 旬に PyNightshade という名前で公開されましたが、それ以外は文書化されていませんでした。
CastleRATのC亜種はまだ公に特定されていませんが、多数の汎用ウイルス対策によってフラグが立てられています 検知 マルウェアファミリに特にリンクされていません。 したがって、CastleRATのPython亜種は、現在ウイルス対策がゼロまたはほとんど示されていないため、ステルス性を念頭に置いて設計されている可能性があります。 以下の機能は、2025 年 7 月下旬に CastleRAT Python 亜種が最初に観測されて以来、実装され、変更されていません。
- パブリックIPの国情報とシステム情報の取得と報告
- 3 秒ごとに ping/キープアライブ メッセージを生成
- 実行可能ファイル (EXE) またはダイナミック リンク ライブラリ (DLL) をダウンロードして実行する
- cmd シェル コマンドの出力を実行して報告する
- PowerShell コマンドの出力を実行して報告する
- 自己削除
国情報は、よく知られた IP ジオロケーション サービス ip-api[.]comです。フィールドのステータスと国が照会されます( 図5を参照)。
図5 :CastleRAT Python亜種のGeolocation APIサービスip-api[.]comへのリクエストとレスポンス(情報源: Recorded Future )
図 6 に示す Recorded Future Malware Intelligence クエリを使用して、CastleRAT Python 亜種をハンティングできます。
dynamic.network.http.sequence.request.url contains "/line/?fields=16385"図6 :CastleRAT Python亜種を探すためのRecorded Futureマルウェアインテリジェンスクエリ(情報源: Recorded Future )
Insikt Groupは、CastleRATのPython亜種が引き続き活発に開発中であると評価しています。最近のアップデートでは、バイナリ プロトコルを WebSocket 内にカプセル化したり、C2 デッド ドロップに Steam コミュニティ ページを活用したりするなどの機能が導入されました。
CastleRAT Cバリアント
CastleRATのC亜種には、Python亜種よりも大幅に多くの機能が組み込まれているため、一般的なウイルス対策ソリューションによる検知に対する感受性が高まる可能性があります。
- パブリックIPの国やその他の情報、システム情報の取得と報告
- 6 秒ごとに ping/キープアライブ メッセージを生成
- Keylogger
- クリッパー
- スクリーンキャプチャ
- ファイルアップロード
- ファイルダウンロード
- ブラウザプロセスの検索と終了
- シェルコマンドの出力を実行して報告する
- PowerShell コマンドの出力を実行して報告する
- 永続化の登録と登録解除
- インジェクションまたはブラウザになりすます方法でファイルを実行する
- Steamコミュニティページ経由のC2デッドドロップ
Python の亜種と同様に、C の亜種は、広く悪用されている IP 地理位置情報サービス ip-api[.]com を使用して、感染したホストのパブリック IP アドレスに基づいて情報を収集します。ただし、データの範囲は、都市、郵便番号、および IP が VPN、プロキシ、または Tor ノードに関連付けられているかどうかを示すインジケーターを含むように拡張されました ( 図 7 を参照)。
図7 :CastleRAT C亜種のGeolocation APIサービスip-api[.]comへのリクエストとレスポンス(情報源: Recorded Future )
CastleRATのCバリアントの最近のバージョンでは、 ip-api[.]com出力 ( 図 8 を参照)。
図 8 : CastleRAT C バリアントのリクエストと地理位置情報 API サービス ip-api への応答 (情報源: Recorded Future )
図9に示すRecorded Future Malware Intelligenceクエリは、CastleRAT Cの亜種をハンティングするために使用できます。
図9 :CastleRAT C亜種を探すためのRecorded Futureマルウェアインテリジェンスクエリ(情報源: Recorded Future )
CastleRAT C バリアントは、同期に次の一意の Mutex オブジェクトを使用します。
- Thickwick3
- fsAiodwsfSAFuiefS
- ババイマザイ
- sPEJIOGDsionsgfdUewg
- KolokolBozhii
- FkgfIJGgJgdiJGDGHDjMGjia
- sdgiregdsssaFWIFS
- fsAiodwsfSAFuiefS2
- GoldVekRogerS
- XmGetzKAM8Bw8NCBTUYo5e
Python 亜種が C 亜種のデータ窃取機能を組み込むように更新されるかどうか、また開発者が検知回避のためにどのような追加機能を導入するかは不明です。
被害者学
Insikt Groupは、TAG-150のさまざまなマルウェアファミリーに関連するTier 1 C2インフラストラクチャと通信している被害者の疑いのあるIPアドレスを多数特定しました。これらの IP アドレスの大部分は米国内の地理的位置にあるように見えますが、確実に特定できた実際の被害者は限られています。ほとんどの犠牲者は身元不明のままであり、確認することはできません。しかし、Insikt Groupは、少なくともそのうちの何人かは感染した個人を代表している可能性が高いと評価しています。
軽減策
- 付録 A の IoC を活用して、成功した感染と未遂の感染の両方で、過去または進行中の潜在的な感染を調査し、Recorded Future Intelligence Cloud を使用して、TAG-150 やその他の脅威アクターに関連する将来の IoC を監視します。
- SIEMまたはエンドポイント検知と対応(EDR)ツールで 付録C、 D、 およびE に記載されているSigma、YARA、およびSnortルールを活用して、CastleLoaderおよびCastleRATの存在または実行を検出します。 また、 Recorded Future Intelligence Cloudで利用可能な他の検知ルールを使用する。
- Recorded Future Network Intelligence を使用して、企業インフラストラクチャから既知の悪意のあるインフラストラクチャへのデータ流出のインスタンスを検出します。これは、特定のクエリを採用し、資産に基づいて結果をフィルタリングすることで実現できます。
- この Recorded Future Intelligence Cloud を使用して、TAG-150、その他の脅威アクター、およびより広範なサイバー犯罪エコシステムを監視し、最新のTTP(戦術・技術・手順)、好ましいツールとサービス(脅威アクターが使用する特定のTAEなど)、および新たな開発への可視性を確保します。
今後の展望
Insikt Group は、TAG-150 はステルスと回避に特に重点を置き、ツールを急速に進化させ続けると評価しています。TAG-150はすでに技術的洗練さと適応性を実証しており Insikt Group 、防御手段に対して耐久性の高い、レジリエンスの高い(に優れた)を維持するために、検知防止サービスと技術をさらに実験することを期待しています。
CastleLoader、CastleBot、そして現在のCastleRATなど、複数の自社開発のマルウェアファミリーを展開してきた歴史を考慮すると、TAG-150は近い将来に追加のマルウェアを開発してリリースする可能性が非常に高いです。Insikt Groupはまた、被害者のリーチを拡大するためか、MaaSの能力で運営するかにかかわらず、グループが配信活動を拡大する可能性が高いと評価しています。
Insikt Groupは、TAG-150のインフラストラクチャ、ツール開発、アンダーグラウンドフォーラム全体の活動を引き続き注意深く監視し、新たな脅威を追跡し、グループの軌道を評価します。
付録A:侵害、ハッキングの指標(IoCs)
CastleLoader C2 IP Addresses:
62[.]60[.]226[.]73
62[.]60[.]226[.]211
62[.]60[.]226[.]254
79[.]132[.]130[.]142
80[.]77[.]23[.]48
85[.]158[.]108[.]135
94[.]159[.]113[.]123
107[.]158[.]128[.]45
107[.]158[.]128[.]90
170[.]130[.]165[.]37
173[.]44[.]141[.]89
173[.]232[.]146[.]90
185[.]212[.]47[.]84
185[.]219[.]220[.]128
213[.]209[.]150[.]229
CastleLoader C2 Domains:
cisco-webexxapp[.]xyz
estetic-online[.]com
higueruela[.]net
lekuvam[.]com
mhousecreative[.]com
notionus[.]org
oneyogasite[.]com
panelv1[.]hostingzealoft[.]today
polarcompany[.]org
rinasalleh[.]com
sftp[.]sagargolf[.]com
vilaoaza[.]com
CastleRAT Python and C C2 IP Addresses:
34[.]72[.]90[.]40
45[.]61[.]136[.]81
91[.]212[.]166[.]17
94[.]141[.]122[.]164
104[.]225[.]129[.]171
144[.]208[.]126[.]50
180[.]178[.]189[.]17
185[.]149[.]146[.]118
185[.]196[.]10[.]8
195[.]85[.]115[.]44
195[.]201[.]108[.]189
CastleRAT C2 Deaddrops:
steamcommunity[.]com/id/tfy5d6gohu8tgy687r7
steamcommunity[.]com/id/krouvhsin34287f7h3
steamcommunity[.]com/id/huilo
steamcommunity[.]com/id/desdsfds34324y3g
SectopRAT C2 IP Addresses:
45[.]141[.]84[.]229
83[.]222[.]191[.]98
92[.]255[.]57[.]32
176[.]126[.]163[.]56
185[.]93[.]89[.]56
194[.]26[.]29[.]44
217[.]12[.]206[.]21
WarmCookie C2 IP Address:
170[.]130[.]165[.]112
Possibly Linked WarmCookie C2 IP Address:
192[.]36[.]57[.]164
Payload Servers:
45[.]32[.]69[.]11
138[.]68[.]250[.]216
CastleLoader Samples (SHA256):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 Python Variant Samples (SHA256):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 C Variant Samples (SHA256):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 Samples (SHA256):
ae78caabec6a4241c64357ca5ca05de2e181fe253963de528807bf051fc3608e
Af88dc52b37022583a6687214bb5e345b606c6a0a3f37cfe41576d89c3d8e65d
WarmCookie Samples (SHA256):
e62684a48067d8bf5f219f007bb5908301ca3303b9c57a2f0c3212cf0eb8d7b7
Pastebin URLs:
https://pastebin[.]com/raw/2wW91TbyCastleLoader
C2 IP Addresses:
62[.]60[.]226[.]73
62[.]60[.]226[.]211
62[.]60[.]226[.]254
79[.]132[.]130[.]142
80[.]77[.]23[.]48
85[.]158[.]108[.]135
94[.]159[.]113[.]123
107[.]158[.]128[.]45
107[.]158[.]128[.]90
170[.]130[.]165[.]37
173[.]44[.]141[.]89
173[.]232[.]146[.]90
185[.]212[.]47[.]84
185[.]219[.]220[.]128
213[.]209[.]150[.]229
CastleLoader C2 Domains:
cisco-webexxapp[.]xyz
estetic-online[.]com
higueruela[.]net
lekuvam[.]com
mhousecreative[.]com
notionus[.]org
oneyogasite[.]com
panelv1[.]hostingzealoft[.]today
polarcompany[.]org
rinasalleh[.]com
sftp[.]sagargolf[.]com
vilaoaza[.]com
CastleRAT Python and C C2 IP Addresses:
34[.]72[.]90[.]40
91[.]212[.]166[.]17
94[.]141[.]122[.]164
104[.]225[.]129[.]171
144[.]208[.]126[.]50
180[.]178[.]189[.]17
185[.]149[.]146[.]118
195[.]85[.]115[.]44
195[.]201[.]108[.]189
CastleRAT C2 Deaddrops:
steamcommunicty[.]com/id/tfy5d6gohu8tgy687r7
steamcommunity[.]com/id/krouvhsin34287f7h3
steamcommunity[.]com/id/huilo
steamcommunity[.]com/id/desdsfds34324y3g
SectopRAT C2 IP Addresses:
45[.]141[.]84[.]229
83[.]222[.]191[.]98
92[.]255[.]57[.]32
176[.]126[.]163[.]56
185[.]93[.]89[.]56
194[.]26[.]29[.]44
217[.]12[.]206[.]21
WarmCookie C2 IP Address:
170[.]130[.]165[.]112
Possibly Linked WarmCookie C2 IP Address:
192[.]36[.]57[.]164
CastleLoader Samples (SHA256):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 Python Variant Samples (SHA256):
94dc0f696a46f3c225b0aa741fbd3b8997a92126d66d7bc7c9dd8097af0de52a
401b0eb132cacd6e32d4b4af627370288f9f3e59af36ccfd43a501564937f93c
53775af67e9df206ed3f9c0a3756dbbc4968a77b1df164e9baddb51e61ac82df
58d54e2454be3e4e9a8ea86a3f299a7a60529bc12d28394c5bdf8f858400ff7b
6d62210addb8268d0bd3e6ef0400d54c84e550ccad49f5867fdc51edc0c1db2c
282fa3476294e2b57aa9a8ab4bc1cc00f334197298e4afb2aae812b77e755207
a2feb262a667de704e5e08a8a705c69bbcc806e0d52f0f8e3f081a6aa6c8d7b4
85b4d29f2830a3be3a0f51fbe358bea1a35d2a8aaa6a24f5cc1f2e5d2769716e
4ef63fa536134ad296e83e37f9d323beb45087f7d306debdc3e096fed8357395
CastleRAT C Variant Samples (SHA256):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 Samples (SHA256):
ae78caabec6a4241c64357ca5ca05de2e181fe253963de528807bf051fc3608e
Af88dc52b37022583a6687214bb5e345b606c6a0a3f37cfe41576d89c3d8e65d
WarmCookie サンプル (SHA256):
e62684a48067d8bf5f219f007bb5908301ca3303b9c57a2f0c3212cf0eb8d7b7
ペーストビンの URL:
https://pastebin[.]com/raw/2wW91Tby
付録B:C2サーバー
CastleLoader C2サーバー
AS214943 -
バーチャリンテクノロジー
(出典:Recorded Future)
CastleRAT C2サーバー
AS395092 -
ショックホスティングLLC
AS198953 -
プロトン66合同会社
AS215826 -
パートナーホスティング株式会社
AS395092 -
ショックホスティングLLC
AS396982 -
グーグル合同会社
ガーバートガーバートSS
AeSIekwmgdISa3sa
(パイソン)
KeyKeyKluchCCCCp(Cバージョン)
AS39378 -
servinga GmbH
AS212228 -
servinga GmbH
AS211659 -
Oniks LLC
(出典:Recorded Future)
SectopRAT C2サーバー
メディアランド合同会社
SSネット
AS57523
Chang Way Technologies Co.、Limited(チャンウェイテクノロジーズ株式会社)
グリーンフロイドLLC
リミテッドネットワーク株式会社
メディアランド合同会社
(出典:Recorded Future)
WarmCookie C2サーバー
(出典:Recorded Future)
TAG-150 ペイロード C2 サーバー
AS14061 -
デジタルオーシャン合同会社
(出典:Recorded Future)
付録C:MITRE ATT&CK手法
付録D:YARAルール
キャッスルローダー
ルール MAL_CastleLoader {
メタ:
author = "Insikt Group, Recorded Future"
日付 = "2025-08-06"
description = "検知 of the CastleLoader malware executable"
バージョン = "1.0" 参照 = "https://www.ibm.com/think/x-force/dissecting-castlebot-maas-operation"ハッシュ = "1b6befc65b19a63b4131ce5bcc6e8c0552fe1e1d136ab94bc7d81b3924056156"
hash = "202f6b6631ade2c41e4762e5877ce0063a3beabce0c3f8564b6499a1164c1e04"
ハッシュ = "25e0008aba82690e0f58c9d9fcfbc5d49820aa78d2f7bfcd0b85fb969180fc04"
ハッシュ = "b45cce4ede6ffb7b6f28f75a0cbb60e65592840d98dcb63155b9fa0324a88be2"
ハッシュ = "fb9de7448e9e30f717c171f1d1c90ac72828803a16ad385757aeecc853479d3c"
ハッシュ = "6444f0e3f78254aef663837562d258a2236a77f810ee8d832de7d83e0fdd5783"
malware = "CastleLoader"
malware_id = "8RF9P9"
category = "マルウェア"
ストリングス:
$vmware_check = { 3D 56 4D 77 61 75 ?? 81 7D F8 72 65 56 4D 0F 85 ?? ?? ?? ?? 81 7D F4 77 61 72 65 }
$api_hashing = { 0F BE 0C 1E 8B C2 F6 C3 01 75 0F C1 E8 03 0F AF C1 8B CA C1 E1 07 33 C1 }
$stack_str_url = { C7 ?5 [1-4] 74 00 74 00 C7 ?5 [1-4] 69 00 6E 00 C7 ?5 [1-4] 67 00 73 00 }
$mov_edx_apihash1 = { BA 44 A0 2D 39 } // CreateMutexW
$mov_edx_apihash2 = { BA 2B C2 86 58 } // GetLastError
$mov_edx_apihash3 = { BA 94 F9 86 F8 } // RtlAllocateHeap
$mov_edx_apihash4 = { BA B2 48 70 60 } // ExitProcess
条件:
uint16(0) == 0x5A4D とそれらすべて
}
CastleRAT Python バリアント
ルール MAL_CastleRAT_Python {
メタ:
author = "Insikt Group, Recorded Future"
date = "2025-08-18"
description = "検知 CastleRAT マルウェアの Python 亜種"
バージョン = "1.0" 参照 = "https://www.ibm.com/think/x-force/dissecting-castlebot-maas-operation"参照 = "https://catalyst.prodaft.com/public/report/understanding-current-castleloader-campaigns/overview"ハッシュ = "94dc0f696a46f3c225b0aa741fbd3b8997a92126d66d7bc7c9dd8097af0de52a"
ハッシュ = "53775af67e9df206ed3f9c0a3756dbbc4968a77b1df164e9baddb51e61ac82df"
malware = "CastleRAT"
malware_id = "9WCga-"
category = "マルウェア"
ストリングス:
$cmd 1 = "S_CONNECT" フルワード
$cmd 2 = "S_COMMAND" フルワード
$cmd 3 = "S_PING" フルワード
$cmd 4 = "S_CMD" フルワード
$cmd 5 = "S_DELETE" フルワード
$cmd 6 = "S_POWERSHELL" フルワード
$cmd 7 = "S_START_TERMINAL" フルワード
$cmd 8 = "S_SESSION_MESSAGE" フルワード
$cmd 9 = "S_UPLOAD" フルワード
$fun 1 = "CheckElevation():" フルワード
$fun 2 = "GetHWID("
$fun 3 = "GetOS("
$fun 4 = "GetIpGeo("
$fun 5 = "rc4createkeyA("
$fun 6 = "暗号化解除ブファ("
$fun 7 = "RecvTimeout("
$fun 8 = "送信("
$fun 9 = "接続("
$fun 10 = "スレッドPing("
$fun 11 = "ThreadRecvTerminal("
$fun 12 = "ThreadTerminalSession("
$fun 13 = "ThreadUploadFile("
$fun 14 = "SelfDelete()" フルワード
条件:
ファイルサイズ< 50KB および
7 of ($cmd*) と
10 件中 ($fun*)
}
CastleRAT Cバリアント
rule MAL_CastleRAT_C {
meta:
author = "Insikt Group, Recorded Future"
date = "2025-08-18"
description = "Detection of the C variant of CastleRAT malware"
version = "1.0"
reference = "https://www.ibm.com/think/x-force/dissecting-castlebot-maas-operation"
reference = "https://catalyst.prodaft.com/public/report/understanding-current-castleloader-campaigns/overview"
hash = "1ff6ee23b4cd9ac90ee569067b9e649c76dafac234761706724ae0c1943e4a75"
hash = "e6bcdf375649a7cbf092fcab65a24d832d8725d833e422e28dfa634498b00928"
hash = "67cf6d5332078ff021865d5fef6dc61e90b89bc411d8344754247ccd194ff65b"
hash = "963c012d56c62093d105ab5044517fdcce4ab826f7782b3e377932da1df6896d"
hash = "60125159523c356d711ffa1076211359906e6283e25f75f4cf0f9dc8da6bf7b0"
malware = "CastleRAT"
malware_id = "9WCga-"
category = "MALWARE"
strings:
$ = "keylog.txt" fullword wide
$ = "(VPN)" wide ascii
$ = "rundll32 \"C:\\Windows\\System32\\shell32.dll\" #61" wide
$ = "\"%ws\" --mute-audio --do-not-de-elevate" fullword wide
$ = "\"%ws\" -no-deelevate" fullword wide
$ = "IsWindowVisible" fullword ascii
$ = "camera!" fullword wide
$ = "UAC_InputIndicatorOverlayWnd" fullword wide
$ = "-----------------------------------------" fullword wide
$ = "[%02d:%02d %02d.%02d.%02d] %ws" fullword wide
$ = "C:\\Windows\\System32\\cmd.exe" fullword wide
$ = "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe" fullword wide
$ = "www.ip-api.com" fullword wide
$ = "MachineGuid" fullword wide
$ = "line/?fields=" wide
condition:
uint16(0) == 0x5a4d and all of them
}
付録E:シグマルール
タイトル: CastleRAT Python マルウェアの自己削除
品番: 1050A0C4-1110-4B55-938C-0D27259DDD1E
ステータス:安定
description: CastleRAT マルウェアの Python 亜種による powershell の実行を検出して、それ自体を削除します。参照:
- https://tria.ge/250822-r3a6qaak2t著者: Insikt Group, Recorded Future
日付: 2025-08-28
タグ:
- attack.t1070.004 # インジケーターの削除: ファイルの削除
ログソース:
製品: Windows
カテゴリー: process_creation
検出:
self_delete:
コマンドライン|endswith: 'powershell start-sleep -seconds 4;削除項目 -パス '*' -force;出口」
状態:self_delete
レベル: 高
誤検知:
- 潜在的な無害なインストーラーのアクティビティ
title: CastleRAT C 亜種マルウェア ログ ファイルの作成
品番: 4D785AC8-17FE-4765-B427-9A31073AD1A7
ステータス:安定
説明: CastleRAT C 亜種のマルウェア ログ ファイル作成イベントを検出します。ログ ファイルは、キーロガーとクリップボード スティーラーからの出力を保存するために使用されます。参照:
- https://tria.ge/250701-v6911aykv9著者: Insikt Group, Recorded Future
日付: 2025-08-29
レベル: 高
タグ:
- attack.t1608 # ステージ機能
- attack.t1074.001 # データステージング - ローカルデータステージング
- attack.t1115 # クリップボードデータ
- attack.t1056.001 # キーロギング
ログソース:
製品: Windows
カテゴリー: file_event
検出:
castlerat_logs:
TargetFilename|endswith:
- '\AppData\Local\Temp\MuuuuuhGer3'
- '\AppData\Local\Temp\PluhhSuk3'
- '\AppData\Local\Temp\AsdDsaHaha3'
- '\AppData\Local\Temp\ChuChuka'
- '\AppData\Local\Temp\GagikMaraguiSS'
- '\AppData\Local\Temp\LowUshrSudujes'
- '\AppData\Local\Temp\RarnuiKarta'
- '\AppData\Local\Temp\GrazGraznii'
- '\AppData\Local\Temp\GiveGvein3'
- '\AppData\Local\Temp\BeruiowdgsouiHTR'
- '\AppData\Local\Temp\GDSongdsgndohSDU'
状態:castlerat_logs
誤検知:
-低い
付録F:Snortルール
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"CastleLoader Malware Outbound Checkin"; flow:established,to_server; content:"GET"; http_method; urilen:82,norm; content:"|2F|service|2F|settings|2F|"; http_uri; fast_pattern; content:"Cache-Control|3A 20|no-cache|0D 0A|Connection|3A 20|Keep-Alive|0D 0A|Pragma|3A 20|no-cache|0D 0A|User-Agent|3A 20|"; http_header; depth:79; content:"Host|3A 20|"; http_header; distance:0; content:!"Accept"; http_header; pcre:"/User\x2dAgent[^\x0d]+\x0d\x0aHost\x3a\x20[^\x0d]+\x0d\x0a\x0d\x0a/"; reference:url,https://catalyst.prodaft.com/public/report/understanding-current-castleloader-campaigns/overview; classtype:trojan-activity; sid:52460302; rev:1; metadata:author MGUT, created_at 2025-07-24, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"CastleLoader Malware Outbound Payload Request"; flow:established,to_server; content:"GET"; http_method; content:"|2F|service|2F|download|2F|"; http_uri; fast_pattern; content:"Cache-Control|3A 20|no-cache|0D 0A|Connection|3A 20|Keep-Alive|0D 0A|Pragma|3A 20|no-cache|0D 0A|User-Agent|3A 20|"; http_header; depth:79; content:"Host|3A 20|"; http_header; distance:0; content:!"Accept"; http_header; pcre:"/User\x2dAgent[^\x0d]+\x0d\x0aHost\x3a\x20[^\x0d]+\x0d\x0a\x0d\x0a/"; reference:url,https://catalyst.prodaft.com/public/report/understanding-current-castleloader-campaigns/overview; classtype:trojan-activity; sid:52460303; rev:1; metadata:author MGUT, created_at 2025-07-24, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"CastleLoader Malware Stager Outbound Payload Request"; flow:established,to_server; content:"GET"; http_method; content:"|2F|service|2F|download|2F|"; http_uri; depth:18; fast_pattern; content:".bin"; http_uri; content:"User-Agent|3A 20|GoogeBot|0D 0A|"; http_header; reference:url,https://catalyst.prodaft.com/public/report/understanding-current-castleloader-campaigns/overview; classtype:trojan-activity; sid:52460304; rev:1; metadata:author MGUT, created_at 2025-08-12, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
(脅威)アラート http $HOME_NET any -> $EXTERNAL_NET any (msg:"Possible CastleRAT Python Malware Outbound Request To IP Geo Location Service ip-api"; flow:established,to_server; コンテンツ:「GET」;http_method;ウリレン:19、ノルム;content:"|2F|line|2F 3F|fields|3D|16385";http_uri;深さ:19;fast_pattern;content:"接続|3A 20|キープアライブ|0D 0A|ホスト|3A 20|www.ip-api.com|0D 0A 0D 0A|";http_raw_header;深さ:48;参照:URL,https://tria.ge/250808-w4hPeaXtcW;クラスタイプ:トロイの木馬のアクティビティ;シド:52460315;改訂:1;metadata:author MGUT, created_at 2025-08-24, mitre_tactic_id TA0011, mitre_tactic_name command-and-control;)
(脅威)アラート tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Possible CastleRAT C Variant Malware Outbound Request To IP Geo Location Service ip-api"; flow:established,to_server; コンテンツ:「GET」;http_method;ウリレン:20、ノルム;content:"|2F|line|2F 3F|fields|3D|147457";http_uri;深さ:20;fast_pattern;content:"接続|3A 20|キープアライブ|0D 0A|ホスト|3A 20|www.ip-api.com|0D 0A 0D 0A|";http_header;深さ:48;参照:url,https://tria.ge/250822-vwt7ssxly9;クラスタイプ:トロイの木馬のアクティビティ;シド:52460316;改訂:1;metadata:author MGUT, created_at 2025-08-24, mitre_tactic_id TA0011, mitre_tactic_name command-and-control;)
(脅威)アラート tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Possible CastleRAT C Variant Malware Outbound Request To IP Geo Location Service ip-api"; flow:established,to_server; コンテンツ:「GET」;http_method;ウリレン:20、ノルム;content:"|2F|line|2F 3F|fields|3D|147505";http_uri;深さ:20;fast_pattern;content:"接続|3A 20|キープアライブ|0D 0A|ホスト|3A 20|www.ip-api.com|0D 0A 0D 0A|";http_header;深さ:48;参照:url,https://tria.ge/250814-wyqstsyjx3;クラスタイプ:トロイの木馬のアクティビティ;シド:52460317;改訂:1;metadata:author MGUT, created_at 2025-08-24, mitre_tactic_id TA0011, mitre_tactic_name command-and-control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CastleRAT Malware Outbound Handshake"; flow:established,to_server; dsize:20; stream_size:server,=,1; content:"|02 56 77 8E A5 83 D7 05 02 C2 1E D9 70 5A 47 E5 11 92 B5 5A|"; fast_pattern; depth:20; reference:url,https://tria.ge/250808-w4hpeaxtcw; classtype:trojan-activity; sid:52460307; rev:1; metadata:author MGUT, created_at 2025-08-18, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CastleRAT Malware Outbound Handshake"; flow:established,to_server; dsize:20; stream_size:server,=,1; content:"|BF CF 04 82 45 DF 4F 09 55 5E 0B 15 9F E2 91 A0 68 51 1E 87|"; fast_pattern; depth:20; reference:url,https://tria.ge/250814-wyqstsyjx3; classtype:trojan-activity; sid:52460308; rev:1; metadata:author MGUT, created_at 2025-08-18, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CastleRAT Malware Outbound Handshake"; flow:established,to_server; dsize:20; stream_size:server,=,1; content:"|6B 13 5C 08 BD 49 59 75 79 62 4E EA 2F DE 57 F4 6E 08 8B 6B|"; fast_pattern; depth:20; reference:url,https://tria.ge/250219-nsbsqazpep; classtype:trojan-activity; sid:52460309; rev:1; metadata:author MGUT, created_at 2025-08-18, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CastleRAT Malware Outbound Handshake"; flow:established,to_server; dsize:20; stream_size:server,=,1; content:"|56 EA 59 DB 6B DD 36 81 42 01 C6 84 DF 5A 6B E8 38 14 8D 07|"; fast_pattern; depth:20; reference:url,https://tria.ge/250505-wmbvjabk3t; classtype:trojan-activity; sid:52460310; rev:1; metadata:author MGUT, created_at 2025-08-18, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CastleRAT Malware Outbound Handshake"; flow:established,to_server; dsize:20; stream_size:server,=,1; content:"|A8 CF 1E 1D BA 27 49 FB 63 38 F4 52 A7 9C 39 CF 4A 85 E5 5B|"; fast_pattern; depth:20; reference:url,https://tria.ge/250822-vwt7ssxly9; classtype:trojan-activity; sid:52460311; rev:1; metadata:author MGUT, created_at 2025-08-22, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CastleRAT Malware Outbound Handshake"; flow:established,to_server; dsize:20; stream_size:server,=,1; content:"|0F 0D F7 66 4C B2 D5 12 BA 55 CC BB 2E 1B F4 AD C0 E0 7C A2|"; fast_pattern; depth:20; reference:url,https://tria.ge/250822-rt355svtfs; classtype:trojan-activity; sid:52460312; rev:1; metadata:author MGUT, created_at 2025-08-22, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CastleRAT Malware Outbound Handshake"; flow:established,to_server; dsize:20; stream_size:server,=,1; content:"|74 6F D9 7F B5 48 F6 91 26 E0 16 5A 81 29 4F 35 21 6C 61 82|"; fast_pattern; depth:20; reference:url,https://tria.ge/250813-a7c3fadl7z; classtype:trojan-activity; sid:52460313; rev:1; metadata:author MGUT, created_at 2025-08-22, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CastleRAT Malware Outbound Handshake"; flow:established,to_server; dsize:20; stream_size:server,=,1; content:"|61 57 7C E8 EE BE 56 71 B3 98 F4 A6 87 E3 0C 39 50 0C 29 41|"; fast_pattern; depth:20; reference:url,https://tria.ge/250822-vwt7ssxly9; classtype:trojan-activity; sid:52460314; rev:1; metadata:author MGUT, created_at 2025-08-22, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"Possible CastleRAT Python Malware Outbound Request To IP Geo Location Service ip-api"; flow:established,to_server; content:"GET"; http_method; urilen:19,norm; content:"|2F|line|2F 3F|fields|3D|16385"; http_uri; depth:19; fast_pattern; content:"Connection|3A 20|Keep-Alive|0D 0A|Host|3A 20|www.ip-api.com|0D 0A 0D 0A|"; http_raw_header; depth:48; reference:url,https://tria.ge/250808-w4hpeaxtcw; classtype:trojan-activity; sid:52460315; rev:1; metadata:author MGUT, created_at 2025-08-24, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Possible CastleRAT C Variant Malware Outbound Request To IP Geo Location Service ip-api"; flow:established,to_server; content:"GET"; http_method; urilen:20,norm; content:"|2F|line|2F 3F|fields|3D|147457"; http_uri; depth:20; fast_pattern; content:"Connection|3A 20|Keep-Alive|0D 0A|Host|3A 20|www.ip-api.com|0D 0A 0D 0A|"; http_header; depth:48; reference:url,https://tria.ge/250822-vwt7ssxly9; classtype:trojan-activity; sid:52460316; rev:1; metadata:author MGUT, created_at 2025-08-24, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Possible CastleRAT C Variant Malware Outbound Request To IP Geo Location Service ip-api"; flow:established,to_server; content:"GET"; http_method; urilen:20,norm; content:"|2F|line|2F 3F|fields|3D|147505"; http_uri; depth:20; fast_pattern; content:"Connection|3A 20|Keep-Alive|0D 0A|Host|3A 20|www.ip-api.com|0D 0A 0D 0A|"; http_header; depth:48; reference:url,https://tria.ge/250814-wyqstsyjx3; classtype:trojan-activity; sid:52460317; rev:1; metadata:author MGUT, created_at 2025-08-24, mitre_tactic_id TA0011, mitre_tactic_name Command-And-Control;)