Pesquisadores descreveram o CastleLoader, um carregador (loader) sofisticado usado desde 2025 como porta de entrada em campanhas que afetaram agências governamentais e organizações de infraestrutura crítica. A análise técnica disponível mostra um módulo que roda majoritariamente em memória e emprega técnicas de process hollowing para evitar detecção.
Descoberta e escopo
O CastleLoader foi identificado por analistas de segurança e plataformas de sandboxing como Any.Run. Segundo a investigação publicada, uma campanha ligada ao loader impactou cerca de 460 organizações, com foco em entidades governamentais dos EUA, empresas de TI, logística e provedores de serviços essenciais na América do Norte e Europa.
Arquitetura e vetor de ataque
A análise técnica detalha que o atacador distribui o CastleLoader embutido em instaladores Inno Setup que contêm o AutoIt3.exe e um script compilado. O fluxo inclui o lançamento do processo jsc.exe (compilador JScript.NET) com CREATE_SUSPENDED e a injeção de um PE na memória do processo alvo usando VirtualAllocEx e WriteProcessMemory, seguida por manipulação do PEB e SetThreadContext/ResumeThread para iniciar o payload injectado.
Vetor social e evasão
Os relatórios associam a campanha a técnicas de engenharia social denominadas "ClickFix": prompts fraudulentos de atualização de software ou verificação do sistema persuadem usuários a executar o instalador. Em tempo de execução, a execução em memória e a fragmentação da atividade por processos legítimos tornam a detecção por assinaturas e heurísticas convencionais ineficaz.
Evidências e limites da investigação
A análise reproduzida por Any.Run documenta a cadeia de execução e os artefatos em memória. Entretanto, faltam dados públicos sobre atribuição a um ator específico, listas completas de IOCs compartilhadas em repositórios de inteligência e indicadores sobre mecanismos de comando e controle persistentes. Também não há divulgação pública de uma lista exaustiva das 460 organizações afetadas.
Impacto operacional
- O CastleLoader facilita acesso inicial e subsequente implantação de stealers e RATs que fornecem controle remoto das redes comprometidas.
- Por operar majoritariamente em memória, o loader reduz vestígios em disco, complica análise forense e aumenta o tempo de detecção (MTTD) em ambientes sem capacidades de EDR com monitoramento de memória.
Mitigações e recomendações
Com base na análise pública, medidas práticas incluem:
- Implementar EDR com análise de memória e detecção de técnicas de injeção de processo (WriteProcessMemory, VirtualAllocEx, manipulação de PEB, SetThreadContext).
- Harden de mecanismos de atualização de software e bloqueio de instaladores Inno Setup desconhecidos em estações críticas.
- Treinamento focado em vetores de engenharia social do tipo "falsa atualização" e processos de verificação internos para solicitações de execução de instaladores.
- Compartilhamento de IOCs entre equipes de segurança e provedores de threat intelligence para bloqueio proativo.
Conclusão
CastleLoader representa um perigo crescente para ambientes sensíveis por combinar engenharia social eficiente com técnicas de execução em memória. Pesam lacunas públicas quanto à atribuição e ao catálogo completo de vítimas; ainda assim, a descrição técnica disponível já fornece indicadores operacionais úteis para defesa.
Fonte: Cyber Security News — relatório técnico e análise do CastleLoader baseada em investigações publicadas.