TAG-150 Tehdit Grubu CastleRAT’ın Python ve C Versiyonlarını Geliştiriyor, CastleLoader Zararlısını Yaygınlaştırıyor

Anasayfa » TAG-150 Tehdit Grubu CastleRAT’ın Python ve C Versiyonlarını Geliştiriyor, CastleLoader Zararlısını Yaygınlaştırıyor
Haberler, Siber Güvenlik, Tehdit Analizi
Ekim 7, 2025Ekim 25, 2025Tarafından Ai Administrator
0
TAG-150 Tehdit Grubu CastleRAT’ın Python ve C Versiyonlarını Geliştiriyor, CastleLoader Zararlısını Yaygınlaştırıyor

Recorded Future Insikt Group tarafından aktarıldığı üzere, CastleRAT zararlısı Python ve C dillerinde iki farklı varyantla sunuluyor. Temel işlevleri arasında sistem bilgilerini toplamak, ek yükleri indirmek ve çalıştırmak ile CMD ve PowerShell üzerinden komut yürütmek yer alıyor.

TAG-150’nin Çok Katmanlı Altyapısı ve CastleLoader’ın Rolü

Siber güvenlik şirketleri TAG-150 olarak takip ettikleri tehdit aktörünün Mart 2025’ten beri CastleLoader ve CastleRAT gibi zararlılarla aktif olduğunu belirtiyor. CastleLoader, İsviçreli PRODAFT tarafından Temmuz 2025’te belgelenmiş olup, DeerStealer, RedLine, StealC gibi çok çeşitli ikincil yükleyicilerin dağıtımında kullanılıyor. IBM X-Force analizleri, zararlının MonsterV2 ve WARMCOOKIE gibi tehditler için SEO zehirlenmesi ve sahte GitHub depoları üzerinden yayılım sağladığını ortaya koydu.

CastleRAT’ın Teknik Özellikleri ve Gelişimi

CastleRAT, iki versiyonda mevcut: C dilinde yazılan ve Python ile geliştirilen PyNightshade. C varyantı tuş vuruşlarını kaydetme, ekran görüntüsü alma, dosya transferi ve kripto para kliperi işlevleriyle daha kapsamlı. Her iki versiyon da IP konumlandırma servisi ip-api.com’u kullanarak enfekte sistemlerin genel IP bilgilerini topluyor; ancak C varyantının son sürümlerinde şehir ve posta kodu sorgulamaları kaldırılarak aktif geliştirme sinyali verildi.

Güvenlik Önlemleri ve Yöntemler

eSentire tarafından analiz edilen NightshadeC2 yükleyicisi, .NET tabanlı botnet yapısı ve UAC Prompt Bombing gibi tekniklerle güvenlik önlemlerini aşmaya çalışıyor. PowerShell komutlarıyla Windows Defender hariç tutmaları eklenmeye çalışılırken, başarısız denemelerde kullanıcı UAC onayına zorlanıyor. Bu yöntem, özellikle Windows Defender devre dışı bırakılmış sistemlerde sandbox analizlerini atlatmaya olanak tanıyor.

Ek Zararlılar ve Operasyonel Detaylar

TAG-150’nin faaliyetleriyle eş zamanlı olarak Hunt.io, TinyLoader adlı başka bir zararlı yükleyiciyi detaylandırdı. Bu zararlı, Redline Stealer ve DCRat gibi tehditleri yaymak için kullanılıyor ve Windows Kayıt Defteri üzerinden kalıcılık sağlıyor. Ayrıca, TinkyWinkey adlı gelişmiş bir Windows keylogger ve Inf0s3c Stealer adlı Python tabanlı bilgi hırsızı da keşfedildi. Inf0s3c Stealer, sistem detaylarını kapsamlı biçimde toplayıp ekran görüntüleri yakalıyor.

Bu gelişmeler, TAG-150’nin operasyonlarını uçtan uca bir araç setiyle hızlandırma ve abonelik bazlı hizmet modelleriyle daha esnek hale getirme çabasını gösteriyor.

, , , , , , ,