駭客團體TAG-150開發Python與C語言版CastleRAT，擴大CastleLoader惡意軟體攻擊範圍

駭客組織 TAG-150 自 2025 年 3 月開始活躍至今，專門開發多種惡意軟體，包括惡意軟體載入器 CastleLoader（又稱CastleBot）和遠端存取木馬 CastleRAT。與大多數惡意軟體即服務(MaaS)組織不同，TAG-150 採用高度隱密的營運策略，不在暗網進行廣告宣傳，僅在可信的夥伴圈內推廣服務。

TAG-150 簡介及其 MaaS 模式

根據 Recorded Future Insikt Group 的分析，CastleLoader 已被用於超過 1,600 次攻擊活動，其中近 470 次感染成功，成功率達 28.7%。受害者主要集中在美國政府機關，顯示該組織具有相當強的威脅能力。CastleLoader 作為初始存取載體，用於部署各種次階段酬載，包括 RedLine、StealC、DeerStealer、NetSupport RAT、SectopRAT、Hijack Loader、MonsterV2 和 WARMCOOKIE 等多種資訊竊取程式和遠端存取工具。

攻擊者主要透過兩種方式散布惡意軟體：偽裝成 Cloudflare 主題的「ClickFix」釣魚攻擊及偽造的 GitHub 儲存庫。這些攻擊手法巧妙模仿合法服務，包括軟體開發程式庫、線上會議平台、瀏覽器更新警示和文件驗證系統，以誘導受害者上當。

CastleRAT 遠端存取木馬的技術特徵與變種分析

CastleRAT 是 TAG-150 開發的客製化遠端存取木馬，提供 Python 和 C 語言兩種版本。Python 版本也被稱為 PyNightshade，而 eSentire 則將其追蹤為 NightshadeC2。這兩個版本在功能性和隱蔽性方面存在明顯差異。

C 語言版本的 CastleRAT 功能相當完整，包含鍵盤記錄、螢幕截圖、檔案傳輸和加密貨幣剪貼簿劫持等多項功能。它透過 ip-api.com 地理位置服務收集受感染主機的詳細資訊，如城市、郵遞區號，以及判斷 IP 是否來自 VPN、代理伺服器或 Tor 節點。最新版本已移除城市和郵遞區號的查詢功能，顯示此惡意軟體正持續演進中。

Python 版本則著重於隱蔽性，功能雖較精簡，但具備自我刪除能力，且能有效規避防毒軟體偵測。該版本採用一種稱為「UAC提示轟炸」(UAC Prompt Bombing)的特殊技術，透過 PowerShell 指令迴圈嘗試在 Windows Defender 中新增排除項目。若使用者拒絕授權，系統會持續顯示提示視窗，直到使用者接受為止。

兩個版本皆利用 Steam 社群檔案作為死信箱解析器（Dead Drop Resolver），用來指向真正的 C2 伺服器，凸顯了攻擊者在隱藏基礎設施方面的創新手法。

多層式基礎設施架構與相關威脅家族

TAG-150 建構了複雜的多層式基礎設施，包括第一層面向受害者的 C2 伺服器、由虛擬私人伺服器(VPS)組成的第二層和第三層，以及第四層備份伺服器。這種架構不僅提高了營運穩定性，也增加了執法單位追蹤和瓦解的難度。

研究人員除了發現 CastleRAT 外，還識別出多個相關惡意軟體家族：TinyLoader 載入器（用於散布 Redline Stealer 和 DCRat）、Windows 鍵盤記錄程式 TinkyWinkey 和 Python 資訊竊取程式 Inf0s3c Stealer。

TinyLoader 具備剪貼簿監控功能，能即時替換被複製的加密貨幣錢包地址，其 C2 控制面板分布在拉脫維亞、英國和荷蘭。Inf0s3c Stealer 與 Blank Grabber 和 Umbral-Stealer 等公開惡意軟體家族相似，這暗示它們可能來自同一開發者。

未來威脅發展趨勢與安全防護建議

根據 TAG-150 過去開發多種自研惡意軟體家族的歷史，專家評估該組織很可能在近期內開發並發布更多惡意軟體。該組織正在建構完整的端到端工具集，這不僅讓他們能對訂閱服務收取更高費用，也能更迅速地調整營運策略。Python 版本的 CastleRAT 預計會持續發展，最終可能與 C 語言版本達到相同的功能水平。

由於 TAG-150 採用隱密的營運方式，其客戶群體普遍更為老練，在網路犯罪生態系統中擁有更廣泛的連結。這種排他性雖然限制了大規模採用，但也降低了被發現和瓦解的風險。隨著該組織可能擴大散布範圍，無論是為增加受害者數量或強化 MaaS 營運模式，TAG-150 將持續對全球網路安全構成重大威脅，特別是針對政府機關和關鍵基礎設施。

本文轉載自 DarkReading、TheHackerNews。