CastleLoader è un nuovo malware loader che negli ultimi mesi ha destato l’attenzione degli esperti di cybersecurity per la sua capacità di diffondere una vasta gamma di minacce informatiche. Questo loader è stato individuato per la prima volta all’inizio del 2025 e si è rapidamente affermato come uno degli strumenti preferiti dai cybercriminali per distribuire infostealer e RAT (Remote Access Trojan) come DeerStealer, RedLine, StealC, NetSupport RAT, SectopRAT e anche altri loader come Hijack Loader.

Metodo di distribuzione

Uno degli aspetti più insidiosi di CastleLoader è il suo metodo di distribuzione. Gli attaccanti utilizzano campagne di phishing ClickFix a tema Cloudflare, sfruttando domini fasulli che imitano siti di librerie di sviluppo, piattaforme di videoconferenza, notifiche di aggiornamento browser o sistemi di verifica documentale. Queste campagne inducono le vittime, spesso attraverso risultati di ricerca Google manipolati, a visitare pagine web contraffatte che mostrano falsi messaggi di errore e CAPTCHA. L’utente viene così guidato a eseguire comandi PowerShell malevoli, innescando la catena d’infezione.

Parallelamente, CastleLoader viene diffuso tramite repository GitHub falsi che imitano strumenti legittimi molto noti tra gli sviluppatori. Questa tecnica si fonda sulla fiducia che i developer ripongono nella piattaforma e sulla loro abitudine a lanciare comandi di installazione direttamente dai repository, esponendo inconsapevolmente i propri dispositivi all’infezione malware.

Tecniche avanzate e architettura modulare

Dal punto di vista tecnico, CastleLoader si distingue per l’uso di tecniche avanzate di offuscamento come dead code injection e packing. Dopo essersi decompresso in memoria, si collega al server C2 (Command and Control) per scaricare i moduli malevoli che porteranno a termine l’attacco. La sua architettura modulare consente di separare la fase di infezione iniziale dalla distribuzione effettiva del payload, rendendo più difficile l’attribuzione e la risposta degli analisti di sicurezza.

Dati sulle campagne e raccomandazioni

Le campagne che sfruttano CastleLoader hanno rilevato oltre 1600 tentativi di infezione dal maggio 2025, con 469 dispositivi compromessi e un tasso di infezione del 28,7%. Gli operatori di CastleLoader adottano anche tecniche anti-sandboxing e anti-analisi, tipiche dei loader di nuova generazione e dei servizi malware-as-a-service (MaaS).

Questo scenario conferma quanto sia fondamentale per aziende e utenti finali diffidare di link sospetti, non eseguire script non verificati e adottare soluzioni avanzate di sicurezza per contrastare minacce sempre più sofisticate come CastleLoader.