AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### CastleRAT: Nuevo RAT Modular y Multiplataforma Surge del Ecosistema CastleLoader

admin

#### Introducción

La aparición de nuevas familias de malware as-a-service (MaaS) continúa alterando el panorama de amenazas, dotando a actores maliciosos de herramientas cada vez más sofisticadas para comprometer sistemas empresariales. Recientes investigaciones de la Insikt Group de Recorded Future han desvelado el desarrollo de CastleRAT, un troyano de acceso remoto (RAT) robusto y versátil, creado por el mismo actor responsable del loader CastleLoader. Disponible en variantes Python y C, CastleRAT representa un avance en modularidad, sigilo y capacidades de post-explotación, situándose como una amenaza relevante para entornos corporativos y operativos críticos.

#### Contexto del Incidente o Vulnerabilidad

CastleLoader, identificado inicialmente como un framework MaaS, ha servido de plataforma para la distribución de múltiples cargas maliciosas en campañas recientes. A principios de 2024, los analistas de Recorded Future detectaron un incremento en la actividad de CastleLoader, observando la integración de CastleRAT en nuevas cadenas de infección. El desarrollo paralelo de ambas herramientas apunta a una estrategia de diversificación de vectores y persistencia, evidenciando la profesionalización del cibercrimen en el modelo de servicios.

CastleRAT se posiciona como una pieza central en el arsenal del actor, permitiendo acceso remoto, ejecución de comandos y despliegue de payloads adicionales una vez comprometido el host. Su naturaleza multiplataforma y modular facilita la adaptación a distintos escenarios de ataque y la evasión de controles de seguridad tradicionales.

#### Detalles Técnicos

CastleRAT ha sido identificado en dos variantes principales: una escrita en Python (probablemente orientada a Linux y sistemas multiplataforma) y otra en C (optimizada para entornos Windows). Entre sus funcionalidades destacan:

– **Recopilación de información del sistema**: Inventariado de hardware, software, procesos y configuración de red.
– **Descarga y ejecución de payloads**: Permite la instalación de nuevas herramientas de post-explotación o ransomware.
– **Ejecución remota de comandos**: Mediante CMD y PowerShell, facilitando movimientos laterales y escalada de privilegios.

Los vectores iniciales de infección asociados a CastleLoader incluyen spear phishing con adjuntos maliciosos (documentos ofuscados, scripts en macros), así como aprovechamiento de vulnerabilidades conocidas (exploits en Metasploit y Cobalt Strike). No se ha publicado aún un CVE específico para CastleRAT, ya que se trata de malware personalizado, pero se observa reutilización de exploits para CVE-2023-23397 (Outlook) y CVE-2023-27350 (PaperCut) en campañas recientes.

En cuanto a TTPs según MITRE ATT&CK, CastleRAT se alinea con técnicas como:
– **T1059** (Command and Scripting Interpreter)
– **T1105** (Ingress Tool Transfer)
– **T1082** (System Information Discovery)
– **T1569.002** (System Services: Service Execution)

Indicadores de compromiso (IoC) revelados incluyen hashes de muestras, dominios C2 y patrones de tráfico cifrado característicos, aprovechando canales HTTP/HTTPS con ofuscación de headers y payloads codificados en base64.

#### Impacto y Riesgos

La adopción de CastleRAT supone una amenaza significativa para organizaciones de todos los sectores, especialmente aquellas con infraestructuras híbridas o entornos BYOD. Su capacidad para descarga de payloads multiplica el riesgo de infecciones secundarias, ransomware y exfiltración de datos críticos.

Según datos recientes, se estima que un 18% de los incidentes de acceso remoto detectados en Q2 2024 en Europa occidental presentan artefactos compatibles con CastleRAT o CastleLoader. El coste medio de los incidentes de ransomware con acceso inicial vía RAT supera los 750.000 € según ENISA, y el tiempo medio de detección se sitúa en torno a los 19 días, lo que amplifica el daño potencial y las implicaciones regulatorias (GDPR, NIS2).

#### Medidas de Mitigación y Recomendaciones

Para reducir la exposición a CastleRAT y su ecosistema, se recomienda:

– **Actualización regular de sistemas** y aplicaciones, priorizando parches para vulnerabilidades explotadas activamente.
– **Bloqueo de macros y scripts no firmados** en aplicaciones ofimáticas.
– **Monitorización de actividad anómala de PowerShell y CMD** mediante EDR y SIEM, con reglas específicas para técnicas T1059 y T1105.
– **Revisión de conexiones salientes** hacia IPs y dominios sospechosos, y segmentación de red para limitar movimientos laterales.
– **Campañas de concienciación** sobre phishing y revisión de políticas de acceso remoto.
– **Implementación de Zero Trust** y autenticación multifactor (MFA) para accesos privilegiados.

#### Opinión de Expertos

Especialistas en ciberinteligencia de Recorded Future subrayan la peligrosidad de CastleRAT por su flexibilidad y continua evolución. “El desarrollo paralelo en Python y C facilita la rápida adaptación a nuevos entornos objetivo, incrementando el tiempo de vida útil del malware”, señala Dmitry Smilyanets, analista senior. Consultores del CERT-EU alertan sobre la tendencia de los grupos MaaS a invertir en funcionalidades de evasión y persistencia, dificultando la atribución y mitigación temprana.

#### Implicaciones para Empresas y Usuarios

El auge de CastleRAT evidencia la necesidad de reforzar las capacidades de detección y respuesta frente a amenazas avanzadas. Las empresas deben revisar sus estrategias de ciberseguridad, priorizando la visibilidad en endpoints y la respuesta automatizada ante actividades sospechosas. El cumplimiento de marcos regulatorios como NIS2 y GDPR se ve comprometido ante infecciones de este tipo, ya que la exfiltración de datos y la interrupción del negocio pueden conllevar sanciones significativas y daño reputacional.

#### Conclusiones

CastleRAT representa una evolución preocupante en el arsenal de malware as-a-service, combinando modularidad, evasión avanzada y persistencia. Su integración con CastleLoader y el enfoque multiplataforma obligan a las organizaciones a adoptar medidas proactivas de defensa y respuesta. El seguimiento continuo de IoCs, la inteligencia de amenazas y la capacitación de los equipos técnicos serán claves para mitigar el impacto de esta nueva amenaza.

(Fuente: feeds.feedburner.com)