La Campaña de Malware CastleLoader Golpea al Gobierno de EE.UU. y a los Desarrolladores

Image by Xavier Cee, from Unsplash

La Campaña de Malware CastleLoader Golpea al Gobierno de EE.UU. y a los Desarrolladores

Tiempo de lectura: 3 min.

Actualizado por última vez: Jul 29, 2025

Un nuevo y peligroso malware llamado CastleLoader está infectando a los usuarios a través de sitios web falsos y repositorios de GitHub.

¿Con prisa? Aquí están los hechos rápidos:

  • El malware CastleLoader infectó 469 dispositivos, incluyendo sistemas del gobierno de los EE.UU.
  • El malware se propaga a través de falsas actualizaciones de ClickFix y repositorios de GitHub.
  • El engaño en GitHub hace que los desarrolladores descarguen archivos maliciosos sin darse cuenta.

Desde su descubrimiento a principios de 2025, CastleLoader ha infectado al menos 469 dispositivos en todo el mundo, incluyendo sistemas del gobierno de EE. UU., según lo informó por primera vez la empresa de ciberseguridad PRODAFT.

Las investigadoras explican que CastleLoader funciona como una plataforma de distribución de malware, que propaga RedLine junto con StealC, DeerStealer, NetSupport RAT y HijackLoader.

Los programas maliciosos permiten a los atacantes robar contraseñas, cookies y billeteras de criptomonedas, a la vez que les proporcionan acceso remoto a los dispositivos de las víctimas.

Los atacantes utilizan sitios falsos de phishing ClickFix que imitan fuentes legítimas, como Google Meet, actualizaciones de navegadores y controles de documentos. Los usuarios que siguen las instrucciones falsas de corrección de errores en la pantalla terminan ejecutando comandos maliciosos de PowerShell, lo que inicia la secuencia de infección sin su conocimiento.

“Castle Loader es una amenaza nueva y activa, rápidamente adoptada por varias campañas maliciosas para implementar una serie de otros cargadores y robadores”, dijo PRODAFT, según lo informado por The Hacker News.

“Sus sofisticadas técnicas de anti-análisis y su proceso de infección en varias etapas destacan su efectividad como mecanismo de distribución principal en el actual panorama de amenazas”, añadieron las investigadoras.

CastleLoader también se propaga a través de falsos repositorios en GitHub que aparentan alojar herramientas confiables para desarrolladores. Estas páginas engañosas llevan a los usuarios a instalar malware, explotando la confianza en plataformas como GitHub.

El malware también utiliza repositorios falsos de GitHub, que pretenden alojar herramientas de desarrollador para propagar su infección. Los usuarios que visitan estas páginas engañosas terminan instalando malware porque confían en la plataforma GitHub.

Los investigadores identifican este malware como parte de una operación MaaS más amplia. El panel de control C2 proporciona a los hackers capacidades en tiempo real para administrar sistemas infectados, ejecutar ataques y modificar sus campañas.

“Esta técnica explota la confianza de los desarrolladores en GitHub y su tendencia a ejecutar comandos de instalación desde repositorios que parecen respetables”, señaló PRODAFT.

Con una tasa de infección de casi el 29%, los expertos advierten a los usuarios que eviten sitios de actualización desconocidos y verifiquen dos veces todas las fuentes de software.

¿Te ha gustado este artículo?
¡Puntúalo!
No me ha gustado nada No me gusta Ha estado bien ¡Muy bueno! ¡Me ha encantado!

¡Nos alegra que te guste nuestro trabajo!

Eres importante para nosotros, por eso, nos gustaría que nos dejaras una opinión en Trustpilot, ¿te animas? Se tarda muy poco y significa mucho para nosotros. ¡Gracias por todo!

Valóranos en Trustpilot
0 Votado por 0 usuarios
Título
Comentar
Gracias por tu opinión