Netcrook Logo
👤 CRYSTALPROXY
🗓️ 15 Jan 2026   🌍 North America

“Ghost Loader” suelto: Malware sigiloso vulnera cientos de redes de alta seguridad

Un nuevo y escurridizo cargador de malware, apodado CastleLoader, ha infiltrado silenciosamente casi 500 sistemas en gobiernos e infraestructuras críticas, eludiendo las defensas tradicionales.

Todo comienza con una ventana emergente rutinaria: un archivo que falta, una solicitud de actualización, un clic aparentemente inofensivo. Pero detrás de esta molestia digital cotidiana se esconde una nueva amenaza cibernética que está sacudiendo los círculos de seguridad. CastleLoader, la última herramienta en el arsenal de los ciberdelincuentes, está demostrando que, a veces, las amenazas más peligrosas son aquellas que nunca ves venir.

Datos clave

  • CastleLoader es un nuevo “cargador” de malware que apunta a sectores de alta seguridad desde principios de 2025.
  • Al menos 469 infecciones confirmadas, con víctimas que incluyen agencias gubernamentales de EE. UU. e infraestructuras europeas.
  • Utiliza ingeniería social - ventanas emergentes falsas como “Falta VCRUNTIME140.dll” - para engañar a los usuarios y activar el ataque.
  • Emplea técnicas solo en memoria (sin archivos) para evadir la detección de antivirus.
  • Puede descargar más malware, incluyendo ladrones de contraseñas y troyanos de acceso remoto, una vez dentro de la red.

Anatomía del ataque

Detectada por primera vez por investigadores de ANY.RUN, la última variante de CastleLoader representa un salto en sigilo y sofisticación. A diferencia de los malware que dependen de la fuerza bruta o exploits exóticos, CastleLoader suele necesitar solo la confianza mal depositada de un usuario. Su arma favorita: una táctica de ingeniería social conocida como ClickFix. Las víctimas son atraídas por ventanas emergentes que imitan errores rutinarios de Windows - como la falta de un archivo DLL - incitándolas a “arreglar” el problema. En realidad, ese clic abre la puerta para que CastleLoader se instale silenciosamente.

Una vez dentro, el malware aprovecha Inno Setup - una herramienta legítima de instalación - para desplegar su carga útil, y luego ejecuta un script mediante AutoIt para preparar el terreno. El verdadero truco viene después: CastleLoader secuestra un proceso confiable de Windows (jsc.exe) mediante una técnica llamada process hollowing. Sustituye el código seguro en la memoria por sus propias instrucciones maliciosas, ocultándose a simple vista y esquivando la mayoría de los antivirus.

Con su posición asegurada, CastleLoader se comunica con un centro de comando externo, listo para descargar herramientas aún más peligrosas. Estas pueden incluir ladrones de información para robar credenciales o troyanos de acceso remoto que otorgan control total de la red a los atacantes. ¿El aspecto más inquietante? El enfoque sin archivos de CastleLoader. Al operar completamente en la memoria del sistema, no deja archivos que el software de seguridad pueda escanear, convirtiéndose en un fantasma digital: presente, peligroso y casi invisible.

Por qué importa

La campaña de CastleLoader pone de relieve una realidad contundente: incluso las organizaciones más fortificadas pueden caer ante un simple engaño y una carga útil sofisticada. A medida que los atacantes combinan la ingeniería social con técnicas avanzadas basadas en memoria, la línea entre el error humano y la vulnerabilidad técnica se difumina. Es un llamado de atención tanto para profesionales de TI como para usuarios comunes: la vigilancia es tan importante como cualquier firewall o escaneo antivirus.

Mirando hacia adelante

El auge de CastleLoader es una lección de humildad para los defensores de la infraestructura digital. A medida que el malware evoluciona para esquivar nuestras mejores defensas, el factor humano sigue siendo tanto el eslabón más débil como la última línea de defensa. En un mundo de amenazas fantasmales, a veces pensar dos veces antes de hacer clic es nuestro escudo más fuerte.

WIKICROOK

  • Loader: Un loader es un software malicioso que instala o ejecuta otros malware en un sistema infectado, permitiendo nuevos ciberataques o accesos no autorizados.
  • Process Hollowing: El process hollowing es una técnica en la que el malware se oculta en la memoria de un programa legítimo, permitiéndole evadir la detección y ejecutar acciones maliciosas.
  • Fileless Malware: El malware sin archivos es un software malicioso que se ejecuta en la memoria del ordenador, evitando el almacenamiento en disco y dificultando su detección por herramientas de seguridad tradicionales.
  • Ingeniería social: La ingeniería social es el uso del engaño por parte de hackers para que las personas revelen información confidencial o permitan accesos no autorizados al sistema.
  • Troyano de acceso remoto (RAT): Un troyano de acceso remoto (RAT) es un malware que permite a los atacantes controlar en secreto el ordenador de la víctima desde cualquier lugar, facilitando el robo y el espionaje.
CastleLoader Stealth Malware Cyber Threat
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news