Le malware «CastleRAT» est un cheval de Troie d’accès à distance, conçu pour offrir un contrôle complet d’un système compromis via un serveur C2. Une fois installé, il collecte des informations système (nom de machine, utilisateur, adresse IP, GUID) et les transmet au C2, tout en permettant à l’attaquant d’exécuter des commandes à distance, de télécharger d’autres charges malveillantes et d’établir une persistance via des tâches planifiées. 

            «CastleRAT» se distingue par ses capacités d’espionnage avancées (keylogging, capture d’écran, accès aux périphériques audio/vidéo) ainsi que par des techniques d’évasion sophistiquées comme le chiffrement RC4 des communications, le détournement du presse-papiers pour exfiltrer des données, ou l’utilisation de processus légitimes pour masquer ses activités. 

            Le maCERT recommande d’intégrer les indicateurs de compromission (IOCs) ci- dessous au niveau des moyens de détection et d’alerter le maCERT en cas de détection d’une activité relative à ce malware.