Selon PolySwarm (référence : blog.polyswarm.io), CastleLoader est un loader de malware sophistiqué apparu début 2025 qui s’appuie sur des plateformes légitimes et une architecture modulaire pour mener des attaques ciblant notamment des entités gouvernementales américaines.

CastleLoader atteint un taux d’infection de 28,7 % avec 469 appareils compromis via des campagnes de phishing ClickFix à thème Cloudflare et des faux dépôts GitHub diffusant des installateurs malveillants. Il sert de point d’entrée à des charges secondaires comme StealC, RedLine, NetSupport RAT et d’autres information stealers. 🎯

Sur le plan technique, le loader emploie des scripts PowerShell et AutoIT pour charger du shellcode en mémoire sous forme de DLL, et communique avec sept serveurs C2 distincts en s’appuyant sur une résolution d’API hachée. Son panneau web comprend des modules Delivery et Tasks pour distribuer les charges, avec ciblage géographique, conteneurs Docker chiffrés et détection anti-VM. 🧰

L’infection initiale survient soit via ClickFix incitant l’utilisateur à exécuter des commandes PowerShell malveillantes, soit via des dépôts GitHub factices. Les communications réseau exploitent des services de partage de fichiers légitimes et des sites compromis pour récupérer les charges, renforçant la résilience aux démantèlements. 🕵️‍♂️

IOCs et TTPs

  • IOCs : non fournis dans l’extrait (sept serveurs C2 mentionnés sans détails)
  • TTPs : phishing ClickFix à thème Cloudflare ; abuse de GitHub (faux dépôts/installeurs) ; PowerShell et AutoIT pour chargement en mémoire ; shellcode DLL in-memory ; résolution d’API hachée ; panneau web (modules Delivery/Tasks) ; ciblage géographique ; conteneurs Docker chiffrés ; anti-VM ; usage de services légitimes et sites compromis pour la récupération de charges.

Type d’article : analyse de menace présentant les techniques, l’infrastructure C2 et l’impact opérationnel de CastleLoader.

🧠 TTPs et IOCs détectés

TTPs

phishing ClickFix à thème Cloudflare; abuse de GitHub (faux dépôts/installeurs); PowerShell et AutoIT pour chargement en mémoire; shellcode DLL in-memory; résolution d’API hachée; panneau web (modules Delivery/Tasks); ciblage géographique; conteneurs Docker chiffrés; anti-VM; usage de services légitimes et sites compromis pour la récupération de charges

IOCs

sept serveurs C2 mentionnés sans détails

🔗 Source originale : https://blog.polyswarm.io/castleloader

🖴 Archive : https://web.archive.org/web/20250810210154/https://blog.polyswarm.io/castleloader