Netcrook Logo
👤 WHITEHAWK
🗓️ 07 Sep 2025   🗂️ Cyber Warfare    

Dentro del Castillo: El Imperio Secreto de Malware de TAG-150 y el Auge de CastleRAT

Un grupo de malware sigiloso construye silenciosamente una fortaleza digital, desplegando nuevas herramientas que difuminan la línea entre el cibercrimen y las operaciones encubiertas.

Datos Rápidos

  • TAG-150, un grupo de malware reservado, opera CastleLoader y el nuevo troyano CastleRAT en Python y C.
  • CastleLoader se ha utilizado en más de 1.600 ataques, con cientos de víctimas críticas en EE. UU., incluidas agencias gubernamentales (PRODAFT, Recorded Future).
  • Las variantes de CastleRAT pueden robar datos, registrar pulsaciones de teclas, secuestrar transacciones de criptomonedas y evadir la detección.
  • Las infecciones se propagan mediante software falso, correos de phishing y repositorios de GitHub con trampas, a menudo usando cebos “ClickFix” con temática de Cloudflare.
  • Con un control estricto, el malware de TAG-150 no se anuncia abiertamente en la dark web, lo que sugiere una clientela exclusiva y de alto nivel.

Un Castillo Digital Construido en las Sombras

Imagina una fortaleza que surge no de piedra, sino de líneas de código: cada muro, torre y túnel secreto diseñado para mantener a los intrusos fuera y a las víctimas dentro. Ese es el mundo que está construyendo TAG-150. Según informes de Recorded Future y PRODAFT, este escurridizo grupo de cibercrimen ha desarrollado silenciosamente un conjunto de herramientas de malware - especialmente CastleLoader y su última arma, CastleRAT - poniendo patas arriba el inframundo digital.

Anatomía de un Servicio de Malware Secreto

CastleLoader apareció por primera vez a principios de 2025 y rápidamente se convirtió en una herramienta favorita para los ciberdelincuentes que buscan acceso fácil a los sistemas de las víctimas. Su función: abrir la puerta a un desfile de ladrones digitales, desde info-stealers como RedLine y DeerStealer hasta puertas traseras completas como NetSupport RAT. Pero CastleLoader solo fue el comienzo. Analistas de seguridad de IBM X-Force y eSentire descubrieron recientemente CastleRAT, un troyano de acceso remoto (RAT) personalizado que viene en variantes tanto en Python (“PyNightshade”) como en C, cada una con su propio arsenal de trucos.

La versión en C es la fuerza bruta: puede registrar pulsaciones de teclas, tomar capturas de pantalla, subir o descargar archivos e incluso secuestrar transacciones de criptomonedas reemplazando direcciones de monederos al instante. La variante en Python es el fantasma: más ligera pero sigilosa, capaz de autodestruirse y evadir la mayoría de los antivirus. Ambas emplean tácticas ingeniosas, como ocultar sus verdaderos centros de comando detrás de perfiles inocentes de Steam Community, y ambas explotan una vulnerabilidad de Windows Defender que atrapa a los usuarios en un bucle infinito de alertas de seguridad hasta que se rinden.

Club Exclusivo, Arsenal en Expansión

A pesar de su creciente impacto, TAG-150 sigue siendo casi invisible en la dark web. No hay anuncios llamativos, ni foros públicos promocionando sus productos. Como señala el Insikt Group de Recorded Future, esta exclusividad probablemente mantiene a las fuerzas del orden a raya - y asegura que solo los ciberdelincuentes mejor conectados tengan acceso. ¿El resultado? Una operación de malware como servicio (MaaS) ágil, adaptable y cada vez más peligrosa. El grupo ha sido vinculado a campañas de ransomware, incluidas posibles conexiones con la notoria banda Play Ransomware, y muestra señales de estar construyendo un kit criminal de extremo a extremo.

Otros malware, como TinyLoader e Inf0s3c Stealer, han aparecido junto a CastleRAT, lo que sugiere un ecosistema más amplio de herramientas y afiliados. El mercado de este tipo de malware “personalizado” está en auge, con grupos como TAG-150 compitiendo por superar tanto a rivales como a defensores lanzando nuevas funciones y variantes a una velocidad alarmante.

Conclusión: Las Nuevas Reglas del Cibercrimen

El ascenso de TAG-150 es una lección sobre el cibercrimen moderno: moverse en silencio, innovar sin descanso y guardar los secretos celosamente. A medida que su arsenal digital crece, también lo hace el riesgo para organizaciones e individuos en todo el mundo. Para los defensores, es un recordatorio contundente de que la línea entre el malware comercial y los ataques dirigidos se desvanece rápidamente - y que el castillo digital de hoy puede ser la puerta abierta de mañana.

WIKICROOK

  • Malware: El malware es un software malicioso diseñado para infiltrarse, dañar o robar datos de dispositivos informáticos sin el consentimiento del usuario.
  • Remote Access Trojan (RAT): Un Remote Access Trojan (RAT) es un malware que permite a los atacantes controlar en secreto el ordenador de una víctima desde cualquier lugar, facilitando el robo y el espionaje.
  • Comando: Un comando es una instrucción enviada a un dispositivo o software, a menudo por un servidor C2, que le indica realizar acciones específicas, a veces con fines maliciosos.
  • Phishing: El phishing es un delito informático en el que los atacantes envían mensajes falsos para engañar a los usuarios y hacer que revelen datos sensibles o hagan clic en enlaces maliciosos.
  • Clipper Malware: El clipper malware sustituye las direcciones de monederos de criptomonedas copiadas en el portapapeles por las de los atacantes, engañando a los usuarios para que envíen fondos a los ciberdelincuentes.
WHITEHAWK WHITEHAWK
Cyber Intelligence Strategist
← Back to news