Selon Insikt Group (Recorded Future), avec une date de coupure d’analyse au 10 novembre 2025, l’acteur de menace GrayBravo (ex-TAG-150) opère un écosystème malware-as-a-service (MaaS) autour de ses familles CastleLoader et CastleRAT, avec une infrastructure multi-niveaux et des campagnes rapidement adaptatives.

Le rapport met en évidence quatre clusters distincts exploitant CastleLoader. Deux clusters (dont TAG-160) usurpent des entreprises de logistique et Booking.com, combinant hameçonnage et technique ClickFix pour distribuer CastleLoader et d’autres charges (ex. Matanbuchus). Un autre cluster s’appuie sur malvertising et fausses mises à jour logicielles. L’analyse relie également un alias de forum (« Sparja ») à des activités plausiblement associées à GrayBravo.

L’infrastructure C2 de GrayBravo est décrite comme multi-tier (jusqu’à Tier 4), avec redondance et chemins de contrôle parallèles. Pour CastleRAT (variants C et Python), la communication utilise un protocole binaire chiffré RC4 avec clés 16 octets codées en dur, une géolocalisation via l’API ip-api[.]com, et des capacités supplémentaires côté C (vol d’identifiants navigateurs, keylogging, capture d’écran). Des échanges « handshake » spécifiques et une double redondance C2 sont observés, ainsi que des regroupements d’infrastructure par clé RC4 (ex. « NanuchkaUpyachka »).

Le cluster TAG-160 cible la logistique via courriels usurpés/typosquattés (incluant l’usage de freight-matching DAT Freight & Analytics et Loadlink Technologies) et des leurres DocuSign/“dpeforms”. La séquence ClickFix amène l’exécution silencieuse d’un malware Python (pythonw.exe) après téléchargement/extraction d’une archive, avec affichage d’un leurre; des charges telles que CastleLoader, HijackLoader, Rhadamanthys et zgRAT ont été observées. Le cluster TAG-161 usurpe Booking.com et livre CastleLoader et Matanbuchus via ClickFix, en s’appuyant sur une infrastructure contrôlée par l’attaquant et des outils inédits de gestion d’e-mails de phishing.

Insikt Group recommande de bloquer les IPs/domaines liés aux loaders/infostealers/RATs associés, de surveiller/bloquer les connexions vers des LIS atypiques (ex. Pastebin), et de déployer des règles YARA/Snort/Sigma pour détections actuelles et historiques; des filtres e-mail et la surveillance d’exfiltration sont également mentionnés. Il s’agit d’une analyse de menace visant à documenter l’écosystème, l’infrastructure et les clusters d’activité liés à GrayBravo.

IoCs cités

  • IPs C2 CastleRAT: 104.225.129.171; 144.208.126.50; 195.85.115.44; 77.238.241.203:443; 5.35.44.176
  • Domaines liés à l’écosystème: oldspicenotsogood[.]shop; testdomain123123[.]shop (identifié comme C2 LummaC2); loadstracking[.]com; englandloglstics[.]com (typosquatting); adresse envoyeur usurpée: no-reply@englandlogistics[.]com
  • Paramètre technique: clé RC4 « NanuchkaUpyachka »

TTPs observées

  • Phishing/spearphishing avec ClickFix, usurpation de Booking.com et d’entreprises de logistique, pages de collecte d’informations (ex. “dpeforms”), leurres DocuSign
  • Typosquatting et spoofing d’adresses e-mail légitimes
  • Distribution de CastleLoader, Matanbuchus, HijackLoader, Rhadamanthys, zgRAT; exécution de malware Python via pythonw.exe
  • C2 multi-niveaux avec redondance et communications simultanées; protocole binaire RC4 (clés 16 octets), handshake distinct (octets 07 00 00 00 vs 01 00 00 00), double C2
  • Géolocalisation via ip-api[.]com; usage de Tor observé côté connectivité; malvertising et fausses mises à jour; exploitation d’outils/plateformes légitimes (DAT, Loadlink)
  • Capacités RAT: exécution de commandes, téléchargement/exécution de fichiers, shell interactif, vol d’identifiants, keylogging, capture d’écran

🧠 TTPs et IOCs détectés

TTP

[‘Phishing/spearphishing avec ClickFix’, ‘Usurpation de Booking.com et d’entreprises de logistique’, ‘Pages de collecte d’informations (ex. “dpeforms”)’, ‘Leurres DocuSign’, ‘Typosquatting et spoofing d’adresses e-mail légitimes’, ‘Distribution de CastleLoader, Matanbuchus, HijackLoader, Rhadamanthys, zgRAT’, ‘Exécution de malware Python via pythonw.exe’, ‘C2 multi-niveaux avec redondance et communications simultanées’, ‘Protocole binaire RC4 (clés 16 octets)’, ‘Handshake distinct (octets 07 00 00 00 vs 01 00 00 00)’, ‘Double C2’, ‘Géolocalisation via ip-api[.]com’, ‘Usage de Tor observé côté connectivité’, ‘Malvertising et fausses mises à jour’, ‘Exploitation d’outils/plateformes légitimes (DAT, Loadlink)’, ‘Capacités RAT: exécution de commandes, téléchargement/exécution de fichiers, shell interactif, vol d’identifiants, keylogging, capture d’écran’]

IOC

[‘104.225.129.171’, ‘144.208.126.50’, ‘195.85.115.44’, ‘77.238.241.203:443’, ‘5.35.44.176’, ‘oldspicenotsogood[.]shop’, ’testdomain123123[.]shop’, ’loadstracking[.]com’, ’englandloglstics[.]com’, ’no-reply@englandlogistics[.]com’, ‘NanuchkaUpyachka’]

🔗 Source originale : https://www.recordedfuture.com/research/graybravos-castleloader-activity-clusters-target-multiple-industries