Un nouveau rapport de la société de cybersécurité Proofpoint révèle une vaste campagne de diffusion de malwares menée par un botnetRéseau d'ordinateurs compromis contrôlés par un cybercriminel. Mirai a lancé une attaque massive DDoS en 2016. CERT-FR récemment identifié et baptisé CastleLoader. Ce dernier a déjà ciblé 469 organisations à travers France, Allemagne, États-Unis, Brésil et Japon, en utilisant des techniques avancées pour distribuer plusieurs malwares bancaires et voleurs d’informations.
Un botnetRéseau d'ordinateurs compromis contrôlés par un cybercriminel. Mirai a lancé une attaque massive DDoS en 2016. CERT-FR sophistiqué au service de la cybercriminalité
Détectée pour la première fois en avril 2024, la campagne a connu une intensification significative à partir de juillet 2025. Les infrastructures utilisées pour la diffusion – notamment les serveurs de commande et contrôle (C2) – ainsi que les noms de domaine associés, ont tous été fraîchement enregistrés et activement utilisés dans ces nouvelles vagues d’attaques.
CastleLoader se distingue par sa capacité à télécharger, installer et lancer dynamiquement d’autres malwares. Il agit comme une plateforme d’accès initial pour propager des menaces telles que :
DanaBot : un cheval de Troie bancaire modulaire ;
DarkGate : un outil multifonction utilisé pour l’espionnage et l’accès initial ;
Rhadamanthys : un infostealer sophistiqué vendu sur le dark web.
Une chaîne d’infection par e-mail bien conçue
Les campagnes associées à CastleLoader reposent principalement sur des e-mails malveillants contenant des fichiers JavaScript en pièce jointe, dissimulés dans des archives ZIP. Une fois exécuté, le script télécharge CastleLoader depuis des serveurs distants.
CastleLoader agit ensuite comme dropper, installant les charges utiles finales selon le contexte de la cible. Il emploie diverses techniques pour contourner les solutions antivirusLogiciel de détection et suppression de malwares. ESET protège contre les ransomwares. NIST, notamment l’obfuscation du code, des techniques anti-VM et un chiffrement des communications avec les serveurs C2.
Un acteur criminel toujours actif et adaptable
Les chercheurs estiment que l’opérateur derrière CastleLoader est financièrement motivé, orienté vers la vente d’accès initial (Initial Access Broker) ou la monétisation directe via des voleurs d’informations. Le botnetRéseau d'ordinateurs compromis contrôlés par un cybercriminel. Mirai a lancé une attaque massive DDoS en 2016. CERT-FR se distingue par :
Une infrastructure renouvelée fréquemment pour éviter le blocage par les outils de détection ;
Une capacité à s’adapter rapidement aux mesures de sécurité mises en place par les entreprises ;
Une diversification des charges utiles, en fonction des opportunités de monétisation.
Impact global et secteurs ciblés
Parmi les 469 organisations touchées, Proofpoint identifie des entités dans les secteurs de :
La finance ;
La santé ;
L’industrie ;
L’éducation ;
Les services gouvernementaux.
Les infections ne semblent pas viser spécifiquement un secteur, mais plutôt exploiter des vulnérabilités d’exposition générale aux e-mails de phishingHameçonnage par emails frauduleux imitant un service officiel. Email se faisant passer pour votre banque. PhishTank.
Recommandations pour les entreprises
Face à la menace CastleLoader, les spécialistes recommandent de :
Renforcer la détection comportementale sur les pièces jointes JavaScript et les téléchargements exécutables ;
Éduquer les collaborateurs à détecter les campagnes de phishingHameçonnage par emails frauduleux imitant un service officiel. Email se faisant passer pour votre banque. PhishTank ;
Implémenter des solutions EDROutil surveillant et réagissant aux menaces sur les terminaux. CrowdStrike bloque une attaque en temps réel. Gartner/XDR avec capacité de réponse automatisée ;
Surveiller les connexions sortantes vers des domaines récemment enregistrés.
Conclusion
L’émergence de CastleLoader confirme la professionnalisation continue des écosystèmes cybercriminels. En centralisant les fonctions de livraison et de contrôle, ce botnetRéseau d'ordinateurs compromis contrôlés par un cybercriminel. Mirai a lancé une attaque massive DDoS en 2016. CERT-FR devient un pivot stratégique dans les chaînes d’infection, facilitant la prolifération rapide de malwares redoutables comme DanaBot ou Rhadamanthys. Pour les entreprises, la vigilance accrue face aux vecteurs d’infection par e-mail reste plus que jamais essentielle.