Netcrook Logo
👤 NEURALSHIELD
🗓️ 07 Sep 2025  

Dentro il Castello: L’Impero Segreto del Malware di TAG-150 e l’Ascesa di CastleRAT

Un gruppo di malware furtivo costruisce silenziosamente una fortezza digitale, scatenando nuovi strumenti che confondono il confine tra cybercriminalità e operazioni sotto copertura.

In breve

  • TAG-150, un gruppo di malware segreto, gestisce CastleLoader e il nuovo trojan CastleRAT, sviluppati in Python e C.
  • CastleLoader è stato utilizzato in oltre 1.600 attacchi, con centinaia di vittime critiche negli Stati Uniti, incluse agenzie governative (PRODAFT, Recorded Future).
  • Le varianti di CastleRAT possono rubare dati, registrare i tasti premuti, dirottare transazioni in criptovalute ed eludere il rilevamento.
  • Le infezioni si diffondono tramite software falsi, email di phishing e repository GitHub trappola, spesso usando esche “ClickFix” a tema Cloudflare.
  • Il malware di TAG-150 è strettamente controllato e non viene pubblicizzato apertamente sul dark web, suggerendo una clientela esclusiva e di alto livello.

Un Castello Digitale Costruito nell’Ombra

Immagina una fortezza che si erge non dalla pietra, ma da linee di codice - ogni muro, torre e tunnel segreto progettati per tenere fuori gli intrusi e intrappolare le vittime. Questo è il mondo che TAG-150 sta costruendo. Secondo i rapporti di Recorded Future e PRODAFT, questo sfuggente gruppo di cybercriminali ha sviluppato silenziosamente una suite di strumenti malware - soprattutto CastleLoader e la sua ultima arma, CastleRAT - sconvolgendo il sottobosco digitale.

Anatomia di un Servizio Malware Segreto

CastleLoader è apparso per la prima volta all’inizio del 2025 e si è rapidamente affermato come strumento preferito dai cybercriminali in cerca di un accesso facile ai sistemi delle vittime. Il suo compito: aprire la porta a una sfilata di ladri digitali, dagli info-stealer come RedLine e DeerStealer fino a backdoor complete come NetSupport RAT. Ma CastleLoader era solo l’inizio. Gli analisti di sicurezza di IBM X-Force ed eSentire hanno recentemente scoperto CastleRAT, un trojan di accesso remoto (RAT) personalizzato disponibile sia in versione Python (“PyNightshade”) che C, ciascuna con i propri trucchi.

La versione in C è la forza bruta: può registrare i tasti premuti, catturare screenshot, caricare o scaricare file e persino dirottare transazioni in criptovalute sostituendo al volo gli indirizzi dei wallet. La variante Python è il fantasma - essenziale ma furtiva, capace di autodistruggersi e sfuggire alla maggior parte degli antivirus. Entrambe usano tattiche ingegnose, come nascondere i veri centri di comando dietro innocui profili Steam Community, e sfruttano una falla di Windows Defender che intrappola gli utenti in un loop infinito di avvisi di sicurezza finché non si arrendono.

Club Esclusivo, Arsenale in Espansione

Nonostante il suo impatto crescente, TAG-150 rimane quasi invisibile sul dark web. Niente pubblicità appariscenti, nessun forum pubblico dove vendere i propri strumenti. Come osserva l’Insikt Group di Recorded Future, questa esclusività probabilmente tiene lonta la polizia - e garantisce l’accesso solo ai cybercriminali più ben collegati. Il risultato? Un’operazione malware-as-a-service (MaaS) agile, adattabile e sempre più pericolosa. Il gruppo è stato collegato a campagne ransomware, con possibili legami con la famigerata gang Play Ransomware, e mostra segnali di voler costruire un toolkit criminale completo.

Altri malware, come TinyLoader e Inf0s3c Stealer, sono emersi insieme a CastleRAT, suggerendo un ecosistema più ampio di strumenti e affiliati. Il mercato di questi malware “custom” è in forte crescita, con gruppi come TAG-150 che cercano di superare concorrenti e difensori lanciando nuove funzionalità e varianti a velocità allarmante.

Conclusione: Le Nuove Regole della Cybercriminalità

L’ascesa di TAG-150 è una lezione sulla cybercriminalità moderna: muoversi in silenzio, innovare senza sosta e custodire gelosamente i propri segreti. Man mano che il loro arsenale digitale cresce, aumenta anche il rischio per organizzazioni e individui in tutto il mondo. Per i difensori, è un chiaro promemoria che la linea tra malware commerciale e attacchi mirati si sta rapidamente assottigliando - e che il castello digitale di oggi potrebbe essere il cancello aperto di domani.

WIKICROOK

  • Malware: Il malware è un software dannoso progettato per infiltrarsi, danneggiare o rubare dati da dispositivi informatici senza il consenso dell’utente.
  • Remote Access Trojan (RAT): Un Remote Access Trojan (RAT) è un malware che consente agli attaccanti di controllare segretamente il computer di una vittima da qualsiasi luogo, permettendo furto e spionaggio.
  • Comando: Un comando è un’istruzione inviata a un dispositivo o software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
  • Phishing: Il phishing è un crimine informatico in cui gli attaccanti inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o cliccare su link dannosi.
  • Clipper Malware: Il clipper malware sostituisce gli indirizzi dei wallet di criptovalute copiati negli appunti con quelli degli attaccanti, inducendo le vittime a inviare fondi ai cybercriminali.
NEURALSHIELD NEURALSHIELD
AI System Protection Engineer
← Back to news