Netcrook Logo
👤 AGONY
🗓️ 14 Jan 2026   🌍 North America

“Invasores invisibles: el astuto asalto de CastleLoader a las redes del gobierno de EE. UU.”

Un nuevo y sigiloso cargador de malware explota la ingeniería social y técnicas avanzadas de evasión para infiltrarse en objetivos gubernamentales y de infraestructura crítica.

En el mundo tenuemente iluminado del ciberespionaje, ha surgido un nuevo adversario - uno que esquiva las herramientas de seguridad con precisión quirúrgica. Bautizado como CastleLoader, este cargador de malware ha infiltrado silenciosamente cientos de dispositivos en agencias gubernamentales de EE. UU. y sectores de alto valor, otorgando a los atacantes las llaves del reino mientras apenas deja rastro.

Anatomía de una infiltración

CastleLoader no es una pieza de malware común. Investigadores de seguridad de ANY.RUN han rastreado sus orígenes hasta principios de 2025, observando cómo ganaba rápidamente popularidad entre los ciberdelincuentes por su agilidad y sigilo. A diferencia de los ruidosos ransomware o los torpes ladrones de información, CastleLoader se desliza silenciosamente en las redes, sirviendo como la puerta de entrada silenciosa para cargas útiles más peligrosas - ladrones de información y troyanos de acceso remoto que pueden extraer credenciales y mantener acceso persistente durante meses.

La cadena de infección del cargador está meticulosamente diseñada. Normalmente comienza con un instalador Inno Setup, un paquete de apariencia legítima que extrae un conjunto de archivos auxiliares - including AutoIt3.exe y un script AutoIt compilado. Estos componentes preparan el entorno y luego lanzan una instancia suspendida de jsc.exe (el compilador de JScript.NET). A partir de aquí, CastleLoader realiza un truco de hollowing de procesos: inyecta una carga maliciosa directamente en el espacio de memoria de jsc.exe, un componente confiable de Windows, asegurando que el malware nunca toque el disco en su forma final.

Lo que hace a CastleLoader especialmente insidioso es su uso de la técnica “ClickFix”. En estas campañas, los atacantes se hacen pasar por personal de soporte o verificadores de software, persuadiendo a las víctimas para que ejecuten comandos aparentemente inofensivos que, en realidad, desencadenan la instalación del cargador. Cada etapa parece benigna, por lo que las herramientas de detección y respuesta en endpoints (EDR) suelen ver solo instaladores normales o procesos del sistema mientras el verdadero código malicioso opera de forma invisible en la memoria.

Los analistas de ANY.RUN emplearon una combinación de telemetría de sandbox y un profundo análisis inverso para desentrañar los secretos de CastleLoader. Descubrieron rutinas personalizadas de resolución de API, datos de configuración cifrados y un algoritmo de descifrado basado en XOR. Una vez descifrada, la configuración reveló parámetros de red codificados, valores de mutex, cadenas de user-agent y un servidor de comando y control (C2) en 94.159.113.32 - evidencia de una operación cuidadosamente orquestada y controlada de forma remota.

Para los defensores, las implicaciones son preocupantes. Los métodos tradicionales de detección por firmas y comportamiento son inútiles ante las tácticas de solo-memoria de CastleLoader. En su lugar, los centros de operaciones de seguridad deben apoyarse en inteligencia de amenazas en tiempo real, análisis dinámico en sandbox y una vigilancia constante de cadenas de procesos inusuales que involucren herramientas como jsc.exe.

Conclusión: una nueva era de sigilo

CastleLoader es un presagio de la próxima generación de malware - diseñado para ser invisible, persistente y devastadoramente efectivo. A medida que los atacantes continúan perfeccionando sus técnicas, los defensores deben adaptarse, adoptando inteligencia de amenazas dinámica y monitoreo avanzado de memoria para atrapar a los adversarios antes de que desaparezcan nuevamente en las sombras.

WIKICROOK

  • Hollowing de procesos: El hollowing de procesos es una técnica en la que el malware se oculta en la memoria de un programa legítimo, permitiéndole evadir la detección y ejecutar acciones maliciosas.
  • In: Un sistema de pago dentro de la aplicación permite a los usuarios comprar bienes o servicios digitales directamente en una app, ofreciendo comodidad y mayor control de ingresos para los desarrolladores.
  • Comando: Un comando es una instrucción enviada a un dispositivo o software, a menudo por un servidor C2, que le indica realizar acciones específicas, a veces con fines maliciosos.
  • Ingeniería social: La ingeniería social es el uso de engaños por parte de hackers para inducir a las personas a revelar información confidencial o proporcionar acceso no autorizado a sistemas.
  • Detección y respuesta en endpoints (EDR): La detección y respuesta en endpoints (EDR) son herramientas de seguridad que monitorean computadoras en busca de actividad sospechosa, pero pueden pasar por alto ataques basados en navegador que no dejan archivos.
CastleLoader Cyber Espionage Social Engineering
AGONY AGONY
Elite Offensive Security Commander
← Back to news