Malware Cliente Castle RAT: Tácticas, Técnicas y Oficio

Resumen

CastleRAT es un troyano de acceso remoto observado por primera vez en marzo de 2025, distribuido en variantes Python y C compilado. Recoge metadatos del sistema, pulsaciones de teclas, contenidos del portapapeles, capturas de pantalla y detalles de dispositivos multimedia, para luego exfiltrar esta información a un servidor C2 usando cifrado RC4. El malware puede obtener cargas adicionales, iniciarlas a través de rundll32 y establecer persistencia mediante tareas programadas y métodos de bypass de UAC.

Investigación

El equipo de investigación de amenazas de Splunk realizó ingeniería inversa de las implementaciones en Python y C, mapeando sus comportamientos a técnicas MITRE ATT&CK que incluyen descubrimiento del sistema, keylogging, captura de pantalla, enumeración de dispositivos de audio/video, resolutores de caída sin regreso y duplicación de controladores para escalamiento de privilegios. La investigación enfatizó la dependencia de CastleRAT en binarios legítimos de Windows (rundll32, ComputerDefaults.exe) y su uso de www.ip-api.com para obtener la dirección IP pública.

Mitigación

Los defensores deben detectar conexiones salientes sospechosas a dominios desconocidos, patrones de tráfico cifrados con RC4, y ejecuciones de rundll32 usando cargas DLL basadas en ordinales. Monitorear tareas programadas creadas para iniciar CastleRAT, intentos de bypass de UAC aprovechando ComputerDefaults.exe y procesos lanzados con banderas de audio silenciosas del navegador. Bloquear el acceso a ubicaciones de resolutores de caída sin regreso conocidas, incluyendo páginas de Steam Community abusadas.

Respuesta

Cuando se identifica actividad de CastleRAT, aislar el host afectado, eliminar los procesos maliciosos y retirar tareas programadas o artefactos de persistencia asociados. Recopilar evidencia forense como jerarquías de procesos, argumentos de la línea de comandos, y cambios en el registro. Realizar una búsqueda exhaustiva de complementos DLL adicionales y canales C2, y luego implementar medidas de remediación y reforzamiento en todo el entorno.

Ejecución de Simulación

Requisito previo: la Comprobación Previa de Telemetría y Línea de Base debe haber pasado.

Fundamento: esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.

• Narrativa de Ataque y Comandos:

  1. Etapa 1 – Desplegar el binario de CastleRAT:El atacante copia CastleRAT.exe al directorio %APPDATA% del víctima para mezclarse con los datos del usuario.
  2. Etapa 2 – Ejecutar keylogging:Usando un pequeño cargador C# en memoria, el atacante invoca SetWindowsHookEx para instalar un gancho de teclado de bajo nivel, haciendo que Sysmon registre la API en el CallTrace del evento de creación del proceso.
  3. Etapa 3 – Escalamiento de privilegios:El mismo cargador luego llama a DuplicateHandle para duplicar un manejo de un proceso del sistema con privilegios (por ejemplo, lsass.exe), permitiendo que el malware se ejecute con derechos de SYSTEM. Ambas llamadas a la API aparecen en el mismo CallTrace de Sysmon, satisfaciendo los criterios de la regla de detección.

• Script de Prueba de Regresión:

  # -------------------------------------------------
  # Simulación de CastleRAT – activa SetWindowsHookEx y DuplicateHandle
  # -------------------------------------------------
  $castlePath = "$env:APPDATACastleRAT.exe"
  
  # 1. Soltar un complemento mínimo que cargue la carga real (simulado aquí)
  $payload = @"
  using System;
  using System.Runtime.InteropServices;
  public class Loader {
      [DllImport("user32.dll")]
      public static extern IntPtr SetWindowsHookEx(int idHook, IntPtr lpfn, IntPtr hMod, uint dwThreadId);
      [DllImport("kernel32.dll", SetLastError = true)]
      public static extern bool DuplicateHandle(IntPtr hSourceProcessHandle,
                                                IntPtr hSourceHandle,
                                                IntPtr hTargetProcessHandle,
                                                out IntPtr lpTargetHandle,
                                                uint dwDesiredAccess,
                                                bool bInheritHandle,
                                                uint dwOptions);
      public static void Execute() {
          // Instalar un gancho de teclado de bajo nivel (WH_KEYBOARD_LL = 13)
          SetWindowsHookEx(13, IntPtr.Zero, IntPtr.Zero, 0);
          // Duplicar un manejo del proceso actual (simulado)
          IntPtr dupHandle;
          DuplicateHandle((IntPtr)-1, (IntPtr)0x1234, (IntPtr)-1, out dupHandle, 0, false, 0);
      }
  }
  "@
  
  # Compile el código C# sobre la marcha
  Add-Type -TypeDefinition $payload -Language CSharp
  
  # Copiar el proceso actual de PowerShell (actúa como CastleRAT.exe) al camino de destino
  Copy-Item -Path $PSCommandPath -Destination $castlePath -Force
  
  # Ejecutar la carga maliciosa
  [Loader]::Execute()
  
  # Mantener el proceso vivo brevemente para asegurar que Sysmon registre la pila de llamadas
  Start-Sleep -Seconds 5

«@

# Compile the C# code on‑the‑fly
Add-Type -TypeDefinition $payload -Language CSharp

# Copy the current PowerShell process (acts as CastleRAT.exe) to the target path
Copy-Item -Path $PSCommandPath -Destination $castlePath -Force

# Execute the malicious payload
[Loader]::Execute()

# Keep the process alive briefly to ensure Sysmon logs the call stack
Start-Sleep -Seconds 5

• Comandos de Limpieza:

  # Remover el binario simulado de CastleRAT
  Remove-Item -Path "$env:APPDATACastleRAT.exe" -Force
  
  # Opcionalmente descargar cualquier gancho (no necesario para el complemento, pero incluido por completitud)
  # No se requiere descarga explícita para la llamada SetWindowsHookEx con devolución de llamada NULA utilizada arriba.