La aparición de nuevos “marcos” de malware como CastleBot, pensados para servir como plataforma de despliegue y no como una pieza única de código malicioso, están cambiando la forma en que se producen muchas intrusiones.
En lugar de campañas cerradas con una sola carga útil, los atacantes buscan flexibilidad para adaptar el arsenal a cada víctima, rotar herramientas con rapidez y mantener varias operaciones simultáneas sin reescribirlo todo desde cero.
En ese contexto CastleBot, es un framework emergente que está ganando protagonismo por su capacidad para actuar como distribuidor modular.
Su relevancia no viene solo de lo que instala, sino de cómo se entrega, cómo se gestiona la “flota” de infecciones y qué señales deja en la cadena de ataque cuando el objetivo final es escalar hacia robo de credenciales, control remoto persistente o, en escenarios de mayor impacto, preparar el terreno para ransomware.
Un marco pensado para desplegar malware a demanda
CastleBot se perfila como una operación de malware como servicio, lo que implica que el mismo entramado puede ser utilizado por distintos actores o afiliados para distribuir cargas muy diferentes.
En la práctica, se ha observado que sirve tanto para infostealers como para puertas traseras asociadas a intrusiones de mayor gravedad, entre ellas NetSupport y WarmCookie, dos familias que aparecen de forma recurrente en cadenas de compromiso vinculadas a extorsión y ransomware.
Una parte importante de su “atractivo” para los atacantes es la capacidad de filtrar víctimas. No se trata de infectar indiscriminadamente para obtener volumen, sino de recopilar telemetría del host comprometido y decidir, con criterios operativos, si merece la pena desplegar una carga secundaria más costosa en tiempo y riesgo.
Esa lógica de selección por valor encaja con un mercado criminal que prioriza impactos mayores y accesos más estables.
Distribución: instaladores troyanizados, SEO envenenado y señuelos creíbles
El vector más habitual observado para CastleBot se apoya en instaladores de software manipulados que el propio usuario ejecuta pensando que está instalando una herramienta legítima.
La ingeniería social se refuerza con sitios web falsos que imitan portales de descarga y que, con técnicas de envenenamiento SEO, buscan posicionarse por delante de distribuidores legítimos en buscadores.
El resultado es un flujo de infecciones donde no hace falta explotar una vulnerabilidad: basta con convencer a alguien de descargar y abrir el archivo equivocado.
En paralelo, se ha documentado su presencia en repositorios que aparentan ser proyectos reales y en campañas basadas en ClickFix, una técnica que empuja a la víctima a pegar y ejecutar comandos bajo la promesa de “verificaciones” o supuestas correcciones rápidas.
Esta vía es especialmente eficaz porque reduce fricción: la víctima siente que está completando un paso normal de acceso o validación.
Arquitectura en tres etapas y por qué complica la defensa
El diseño típico de CastleBot se articula en tres capas. En primer lugar aparece un stager que actúa como organizador y descargador inicial; después entra un loader con capacidad de cargar ejecutables en memoria; y, por último, se activa un núcleo con funciones de puerta trasera que consulta tareas en un servidor de mando y control.
Esta separación permite sustituir partes del flujo sin cambiarlo todo y dificulta el trabajo de análisis, porque cada etapa puede estar ofuscada y tener una vida útil corta.
En muestras analizadas públicamente, el stager realiza descargas HTTP utilizando un agente de usuario “Googlebot”, un detalle que busca camuflar tráfico. También se han descrito mecanismos de resolución dinámica de APIs mediante hashing, con DJB2 en componentes tempranos, y descifrado mediante XOR para reconstruir las siguientes fases en memoria.
Una vez que el loader toma el control, se han documentado técnicas de “aparentar legitimidad” ante herramientas que inspeccionan el PEB, insertando estructuras asociadas a módulos cargados para que el artefacto inyectado se parezca más a una carga normal del sistema.
C2 cifrado, gestión por tareas y salto a cargas secundarias
Una de las claves operativas es el modelo de “tareas”: el núcleo consulta instrucciones y ejecuta acciones encadenadas, lo que permite instalar varias cargas en una misma máquina en función del perfil detectado.
En ese canal de mando y control se ha descrito cifrado simétrico con ChaCha para la comunicación posterior a la primera solicitud, lo que complica la inspección de contenido si no se dispone de visibilidad en el endpoint.
En variantes observadas a mediados de 2025 se reportaron ampliaciones de métodos de ejecución y opciones para adaptar el comportamiento en sistemas con diferencias de arquitectura.
También se han mencionado técnicas de inyección de procesos que incorporan ajustes para funcionar en versiones recientes de Windows, incluyendo el uso de rutinas orientadas a sortear comprobaciones de memoria, además de mecanismos de persistencia mediante tareas programadas que se disparan al inicio de sesión.
Campañas relacionadas: NetSupport, WarmCookie y el ecosistema de acceso inicial
Los hilos que conectan CastleBot con NetSupport se han visto reforzados por campañas de páginas falsas que imitan servicios populares y guían al usuario a ejecutar comandos, una dinámica compatible con ClickFix. Investigaciones de terceros describen cadenas donde, tras el primer script, se descargan etapas adicionales y finalmente se despliega NetSupport RAT.
WarmCookie, por su parte, aparece como una carga secundaria relevante por su asociación con ecosistemas de intrusión que han terminado en ransomware.
En 2024 y 2025, operaciones policiales coordinadas han puesto el foco en “malware de acceso inicial” y en la infraestructura que permite esa primera entrada, precisamente el tipo de eslabón que frameworks como CastleBot ayudan a industrializar.
Según IBM, la evolución de CastleBot desde principios de 2025 y el aumento de muestras a partir de mayo encajan con esa tendencia de profesionalización, donde el objetivo es gestionar campañas, segmentar víctimas y rotar payloads con rapidez.
Al final, el indicador más preocupante no es una técnica aislada, sino la suma: distribución apoyada en búsqueda y señuelos, ejecución por etapas, cifrado en C2, evasión orientada a EDR y un catálogo de cargas que va desde robo de información hasta puertas traseras reutilizables.
Cuando el acceso inicial se convierte en producto, el riesgo de escalado crece y la ventana para contener el incidente se estrecha.
