"No habrá entregas, pueden irse": cibercriminales provocan colapso logístico sin salir de casa

La agrupación cibercriminal GrayBravo, anteriormente conocida como TAG-150, sigue desarrollándose activamente, demostrando un alto nivel de preparación técnica, flexibilidad y capacidad para escalar su infraestructura. Un nuevo estudio de los especialistas de Recorded Future detectó cuatro clústeres independientes de actividad maliciosa que utilizan el cargador multifuncional CastleLoader, lo que confirma la hipótesis de que GrayBravo opera según un modelo de servicio malicioso por suscripción.

Uno de esos clústeres, rastreado como TAG-160, se dirige principalmente a empresas de logística. Los delincuentes se hacen pasar por transportistas conocidos y actúan mediante correos de phishing con documentos falsos y enlaces creados mediante la técnica ClickFix.

Las víctimas reciben notificaciones supuestamente de empresas como England Logistics, con la oferta de abrir un enlace para confirmar el coste del transporte de mercancías. Al acceder a él, los usuarios llegan a una página falsa donde se les pide realizar varias acciones, como resultado de las cuales se descarga y ejecuta de forma sigilosa software malicioso en su dispositivo. Entre los componentes descargados, además de CastleLoader, se han registrado HijackLoader, Rhadamanthys y zgRAT.

Para aumentar la credibilidad, los cibercriminales utilizan cuentas comprometidas y dominios registrados que antes pertenecían a empresas legítimas. También crean perfiles falsos en las plataformas logísticas DAT Freight & Analytics y Loadlink Technologies, lo que les permite recopilar contactos de posibles víctimas, elaborar mensajes de phishing basados en datos logísticos reales e incluso, posiblemente, publicar cargas falsas con enlaces maliciosos.

El segundo clúster, designado como TAG-161, explota la reconocida marca Booking.com. Las campañas incluyen no solo la difusión de CastleLoader, sino también la descarga del malware Matanbuchus —un software para la carga remota de componentes maliciosos adicionales. La infraestructura de este clúster está gestionada directamente por los cibercriminales e incluye herramientas propias para el envío masivo de correos de phishing y la generación de redirecciones. Estas herramientas permiten enviar correos desde servidores SMTP comprometidos y dirigir a las víctimas a sitios infectados que imitan un servicio de reserva de alojamientos.

La participación en dichas operaciones de usuarios de foros clandestinos aporta mayor profundidad a la investigación. Uno de los seudónimos, «Sparja», según los especialistas, podría estar relacionado con CastleLoader. Llamó la atención un panel de control del software malicioso en el que, en lugar de la firma habitual, aparecía el nombre Sparja. Anteriormente este usuario ya había mostrado interés en el desarrollo de cargadores y discutía formas de eludir mecanismos de protección con otros implicados en comunidades oscuras. Su actividad coincide en el tiempo con el surgimiento de CastleLoader y podría indicar participación en el desarrollo o la difusión de la herramienta.

GrayBravo no se limita a campañas aisladas y sigue ampliando su infraestructura. El cargador CastleLoader se utiliza no solo en correos de phishing, sino también mediante actualizaciones falsas de programas, distribuidas a través de sitios fraudulentos que imitan servicios legítimos. Una de las agrupaciones, por ejemplo, simula descargas del software de administración Zabbix para difundir el componente malicioso NetSupport RAT.

A pesar de la ausencia de anuncios públicos sobre la prestación de servicios, la naturaleza del uso de CastleLoader, la diversidad de módulos maliciosos secundarios y la existencia de paneles de control especializados indican que GrayBravo opera en formato de modelo de servicio. La mayoría de los componentes de infraestructura, incluidos los paneles y los servidores de control, interactúan exclusivamente dentro de su propia red, y el acceso a ellos lo obtiene un número limitado de participantes externos, presumiblemente socios o arrendatarios.

La constatación de casos de infección en EE. UU. y de actividad en instituciones educativas confirma la amplia geografía de las víctimas y la flexibilidad de las estrategias de los atacantes. Algunas víctimas, aparentemente, se conectaron a la infraestructura maliciosa a través de redes Wi-Fi de centros educativos, lo que complica determinar la escala de la infección.

Ante el aumento del número de participantes que usan CastleLoader y la introducción de nuevas herramientas maliciosas, se puede esperar un mayor fortalecimiento de GrayBravo en el entorno delictivo. El equipo sigue adaptándose, desarrollando mecanismos más elaborados de entrega, evasión de defensas y gestión de sistemas infectados.