SquiblydooFUD #CastleLoader being distributed via malvertizing.
785ba9c42deca8cfc69f1aafb371802782d01bc8156a67c5c0d412c5fb3b4e33
C2: astroflightvision[.]com
The signer, "Soft Insanity Oy" led us to find other FUD malware from November.
1/3
CyberVeille.ch📢 DinDoor : analyse du backdoor Deno lié à MuddyWater et cartographie de 20 serveurs C2 actifs
📝 ## 🔍 Contexte
Publié le 21 avril 2026 par Hunt.io, cet article présente une analyse technique approfondie de *...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-24-dindoor-analyse-du-backdoor-deno-lie-a-muddywater-et-cartographie-de-20-serveurs-c2-actifs/
🌐 source : https://hunt.io/blog/dindoor-deno-runtime-backdoor-msi-analysis
#C2_infrastructure #CastleLoader #Cyberveille
DinDoor : analyse du backdoor Deno lié à MuddyWater et cartographie de 20 serveurs C2 actifs
🔍 Contexte Publié le 21 avril 2026 par Hunt.io, cet article présente une analyse technique approfondie de DinDoor, un backdoor basé sur le runtime Deno, variante du Tsundere Botnet, précédemment documenté par Broadcom en mars 2026 et attribué au groupe APT iranien Seedworm (MuddyWater). 🎯 Vecteur d’infection et chaîne d’exécution Deux échantillons MSI ont été analysés : migcredit.pdf.msi (SHA256: 7b793c54a927da36649eb62b9481d5bcf1e9220035d95bbfb85f44a6cc9541ae) : utilise une double extension pour se faire passer pour un PDF, cible apparente d’une entreprise russe de microcrédit (MigCredit). Dépose Juliet_widget15.ps1 dans AppData\Local\documents\, écrit le payload JS sur disque (Uniform_system17.js). Installer_v1.21.66.msi (SHA256: 2a09bbb3d1ddb729ea7591f197b5955453aa3769c6fb98a5ef60c6e4b7df23a5) : construit avec WiX Toolset, signé avec le certificat ‘Amy Cherne’ lié à MuddyWater et CastleRAT. Exécute error.vbs pour afficher une fausse erreur, puis lance silencieusement Viper_controller36.vbs → tango_utility84.ps1. Le payload JS est exécuté entièrement en mémoire via URI data:application/javascript;base64. ⚙️ Comportement du payload Deno Mutex via TCP : bind sur 127.0.0.1:10091 (migcredit) ou 127.0.0.1:10044 (Installer) ; si le port est occupé, Deno.exit(1) est appelé. Fingerprinting : hash dual rolling initialisé à 0x9E3779B9, combinant USERNAME, hostname, mémoire totale et OS release → identifiant hexadécimal 16 caractères envoyé à chaque requête C2. Health check : GET /health avec timeout 3 secondes, attend HTTP 200 avec corps ok. C2 URL (Installer) : http://serialmenot[.]com/mv2/<JWT>/<victim_hash> avec JWT hardcodé exposant des métadonnées de campagne. Détection sandbox : énumération GPU via Get-WmiObject Win32_VideoController. Beacon : toutes les secondes (Installer) ou toutes les 30 secondes (migcredit), rotation d’index C2 en cas d’échec. 🌐 Infrastructure C2 et pivoting La réponse HTTP des serveurs DinDoor présente une empreinte distinctive :
📢 MuddyWater adopte CastleRAT, un MaaS russe, pour cibler Israël via ChainShell
📝 ## 🔍 Contexte
Rapport technique publié le 6 avril 2026 par JUMPSEC, basé sur l'analyse d'un serveur C2 mal configuré, de 15 éc...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-12-muddywater-adopte-castlerat-un-maas-russe-pour-cibler-israel-via-chainshell/
🌐 source : https://www.jumpsec.com/guides/chainshell-muddywater-russian-criminal-infrastructure/
#CastleLoader #CastleRAT #Cyberveille
MuddyWater adopte CastleRAT, un MaaS russe, pour cibler Israël via ChainShell
🔍 Contexte Rapport technique publié le 6 avril 2026 par JUMPSEC, basé sur l’analyse d’un serveur C2 mal configuré, de 15 échantillons de malware et d’un nouveau payload PE. L’analyse s’inscrit dans la continuité des travaux de Symantec, Check Point, Malwarebytes et Recorded Future sur MuddyWater et CastleRAT. 🎯 Acteurs et relation MuddyWater (alias Seedworm, Mango Sandstorm, TA450, Static Kitten), groupe d’espionnage iranien opérant sous le Ministry of Intelligence and Security (MOIS), est identifié comme client de la plateforme MaaS TAG-150, développée par des cybercriminels russophones. Cette relation est confirmée par trois chaînes de preuves indépendantes.
TechNaduDNS-based staging via ClickFix represents tactical evolution.
Per Microsoft:
• Cmd.exe → nslookup execution
• Hardcoded external DNS resolver
• Payload embedded in DNS Name: response
• ZIP retrieval from azwsappdev[.]com
• Python-based reconnaissance
• VBScript persistence via Startup LNK
• ModeloRAT deployment
• Lumma Stealer distribution via CastleLoader (GrayBravo)
Campaign telemetry also discussed by Bitdefender and Kaspersky.
DNS offers:
• Reduced dependency on HTTP
• Traffic blending with legitimate queries
• Lightweight validation signaling
Detection priorities:
• Anomalous nslookup patterns
• External DNS resolver usage
• Suspicious Startup LNK creation
• DNS response content inspection
Is your EDR correlating DNS queries with process lineage?
Engage below.
Follow @technadu for advanced threat analysis.
#ThreatIntel #ClickFix #DNSStaging #ModeloRAT #LummaStealer #CastleLoader #DetectionEngineering #BlueTeam #SOC #Infosec #CyberOperations #MalwareAnalysis
The Threat CodexLummaStealer Is Getting a Second Life Alongside CastleLoader
#LummaStealer #CastleLoader
https://www.bitdefender.com/en-us/blog/labs/lummastealer-second-life-castleloader
#LummaStealer #CastleLoader
https://www.bitdefender.com/en-us/blog/labs/lummastealer-second-life-castleloader
LummaStealer Is Getting a Second Life Alongside CastleLoader
Bitdefender researchers have discovered a surge in LummaStealer activity, showing how one of the world's most prolific information-stealing malware operations managed to survive despite being almost brought down by law enforcement less than a year ago.
The New OilOnce-hobbled #LummaStealer is back with lures that are hard to resist
Ars Technica NewsOnce-hobbled Lumma Stealer is back with lures that are hard to resist https://arstechni.ca/9U5H #castleloader #infostealer #Security #clickfix #malware #Biz&IT #lumma
ANY.RUN👾 #CastleLoader thrives on silence: obfuscation, staged payloads, rotating infrastructure.
⚠️ 28.7% infection rate using #ClickFix + fake GitHub repos. Targets logistics, government, and developers.
See how SOCs can fight back: https://any.run/malware-trends/castleloader/?utm_source=mastodon&utm_medium=post&utm_campaign=castleloader_mtt&utm_term=020226&utm_content=linktomtt
🚨 #CastleLoader attacks government agencies, compromising up to 400 devices at once
Its unusual process hollowing via an AutoIt3 script is hard for EDR to detect. See the malware exposed in real time: https://app.any.run/tasks/f4f33499-21b9-4423-9ed5-4e156648a4c4/?utm_source=mastodon&utm_medium=post&utm_campaign=castleloader_case&utm_term=220126&utm_content=linktoservice
👨💻 Read the analysis: https://any.run/cybersecurity-blog/castleloader-malware-analysis/?utm_source=mastodon&utm_medium=post&utm_campaign=castleloader_case&utm_term=220126&utm_content=linktoblog
Hackread.com📢⚠️ A new CastleLoader variant linked to at least 469 infections, hitting US government agencies and critical sectors across Europe.
Read: https://hackread.com/castleloader-variant-infections-critical-sectors/
