Cuatro clústeres de amenazas adoptan CastleLoader mientras GrayBravo acelera su expansión como proveedor de Malware-as-a-Service

La comunidad de ciberseguridad ha identificado que cuatro clústeres de amenazas están integrando CastleLoader —un loader avanzado y altamente evasivo— en sus campañas. El hallazgo coincide con la expansión de GrayBravo, un proveedor de infraestructura para ciberataques que opera bajo el modelo Malware-as-a-Service (MaaS) y que ha comenzado a posicionarse como uno de los facilitadores más activos en el ecosistema criminal.

GrayBravo, conocido anteriormente por herramientas como GrayLoader, ha evolucionado su catálogo para soportar simultáneamente a múltiples actores, ofreciendo loaders polimórficos diseñados para comprometer sistemas Windows con alta capacidad de evasión frente a antivirus tradicionales.

Cómo opera CastleLoader: arquitectura en dos fases

CastleLoader implementa una cadena de infección en dos etapas:

1. Fase inicial: realiza comprobaciones del entorno, valida si está corriendo en sandbox y deshabilita defensas locales, incluido Windows Defender, mediante modificaciones en políticas y servicios.

2. Fase secundaria: una vez garantizado el control del host, descarga y ejecuta payloads adicionales, principalmente stealers y herramientas de acceso remoto (RATs).

Los cuatro clústeres que actualmente lo utilizan se apoyan en tácticas de phishing y distribución de archivos maliciosos, con campañas especialmente dirigidas a sectores financiero y gubernamental. La flexibilidad del loader permite que cada actor personalice su flujo de ataque con rapidez.

GrayBravo: infraestructura criminal en expansión

Investigadores reportan que GrayBravo ha desplegado nuevos servidores y nodos de comando y control (C2) en regiones de Europa del Este. Esta infraestructura permite a los clústeres de amenazas:

• escalar campañas sin invertir en desarrollo propio,

• rotar dominios y direcciones IP constantemente,

• recibir actualizaciones frecuentes del loader para evadir nuevas firmas de detección,

• reducir el tiempo entre la planeación y la ejecución de ataques.

Este modelo MaaS está democratizando el acceso a herramientas avanzadas, provocando un aumento notable en el volumen de infecciones y en la velocidad con la que emergen nuevas variantes del loader.

Recomendaciones para equipos de TI y ciberseguridad

Ante la adopción acelerada de CastleLoader y la expansión de GrayBravo, los expertos recomiendan:

• implementar detección basada en comportamiento y análisis de memoria para identificar loaders polimórficos,

• asegurar que las soluciones EDR estén actualizadas y configuradas para inspección profunda,

• monitorear dominios, direcciones IP y artefactos vinculados a GrayBravo,

• reforzar programas internos de capacitación anti-phishing para reducir el vector inicial de compromiso,

• participar en redes de inteligencia compartida para acelerar la respuesta ante nuevas campañas.

La proliferación de este ecosistema MaaS confirma una tendencia clara: los atacantes ya no necesitan capacidades técnicas avanzadas para ejecutar operaciones sofisticadas. Para las organizaciones, la reducción de tiempos de detección y la visibilidad temprana en la cadena de infección se vuelven más críticas que nunca.