一个被标记为 TAG-150 的新型高级威胁行为者已成为重大网络安全隐患。自 2025 年 3 月以来,该组织展现出强大的快速开发能力与技术熟练度,部署了多款自研恶意软件家族。
该组织已成功开发并部署 CastleLoader(城堡加载器)、CastleBot(城堡机器人),以及最新研发的 CastleRAT(城堡远程访问木马)—— 这款此前未被记录的远程访问木马,标志着其运营能力出现了令人担忧的升级。
该威胁行为者主要通过以 Cloudflare 为主题的 “ClickFix” 钓鱼攻击,以及伪装成合法应用的欺诈性 GitHub 仓库发起感染。
受害者会被诱骗在自己的设备上复制并执行恶意 PowerShell 命令,形成一种看似 “用户主动发起” 的入侵,从而绕过传统安全防护措施。
尽管整体攻击接触量有限,但在点击恶意链接的受害者中,该攻击活动的感染率高达 28.7%,这充分证明了其社会工程学战术的有效性。
Recorded Future(网络安全公司)的分析师发现,TAG-150 的运营背后有一个庞大的多层级基础设施支撑,其复杂的命令与控制(C2)架构涵盖四个不同层级。
该基础设施包括:面向受害者的一级(Tier 1)服务器(用于托管各类恶意软件家族)、可通过远程桌面协议(RDP)访问的中间二级(Tier 2)服务器,以及用于运营管理和备份的高级别三级(Tier 3)与四级(Tier 4)基础设施。
这种复杂的网络设计表明,该组织具备先进的运营安全意识和冗余规划能力。
TAG-150 部署的恶意软件生态系统,可作为初始感染载体,分发各类二级攻击载荷,包括 SectopRAT(赛科托远程访问木马)、WarmCookie(暖 Cookie 恶意软件)、HijackLoader(劫持加载器)、NetSupport RAT(网络支持远程访问木马),以及多款信息窃取工具,如 Stealc(斯蒂尔克窃取器)、RedLine Stealer(红线窃取器)和 Rhadamanthys Stealer(拉达曼迪斯窃取器)。
(与 TAG-150 相关的多层级基础设施(来源:Recorded Future))
这种多样化的载荷分发能力表明,该组织要么在运营 “恶意软件即服务”(MaaS)业务,要么与其他网络犯罪团伙存在战略合作关系。
CastleRAT 是 TAG-150 武器库中技术最先进的组件,提供 Python 和 C 语言两种版本,且具备不同功能。
该恶意软件采用自定义二进制协议,使用 RC4 加密算法(含硬编码的 16 字节密钥)保障通信安全。
两种版本均会调用地理定位 API(
ip-api.com),通过受感染主机的公网 IP 地址获取位置信息,从而实现地理靶向攻击和运营情报收集。
其中,C 语言版本的功能显著增强,集成了键盘记录、屏幕捕获、剪贴板监控以及复杂的进程注入技术。
近期进展显示,该组织还在 Steam 社区页面上部署了 “C2 死信投放点”(C2 deaddrops)—— 这种创新的命令与控制通信方式,利用合法游戏平台规避检测。
该恶意软件通过修改注册表实现持久化驻留,并伪装成浏览器进程执行;而 Python 版本则具备通过 PowerShell 命令实现自我删除的功能。
这些规避技术,再加上该组织对 Kleenscan(一款反检测服务)等工具的使用,表明 TAG-150 致力于实现长期、隐蔽的运营。
版权声明·<<<---红客联盟--->>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
