Blackpoint Cyber的攻擊者追蹤小組發現網路攻擊方法發生了重大轉變，他們分析惡意軟體 CastleLoader 發現這個惡意軟體變得更隱蔽，惡意軟體的升級包括攻擊者現在使用 Python 程式語言，以使他們的傳播系統更難被發現。這標誌著攻擊者正不斷尋求利用更彈性、更難被傳統安全產品標記的工具和技術。

CastleLoader 傳統上是透過一種名為ClickFix的隱藏的社會工程攻擊進行傳播的，攻擊者誘騙人們在 Windows 運行框中輸入命令（透過按下 Win + R 鍵），通常偽裝成人工驗證步驟或修復虛假錯誤。這種手法利用了使用者對系統提示和修復程序的信任，使其主動執行惡意指令，極具欺騙性。

然後，這條命令會秘密啟動 Windows 內建工具（例如curl.exe和 tar）來管理初始檔案傳輸和暫存過程，並將內容儲存在使用者電腦上的隱藏資料夾中，所有這些操作都不會顯示任何可見視窗或提示。透過使用系統內建的合法工具（即所謂的「借力使力」Living-off-the-Land, LoL 技術），攻擊者成功地避免了被傳統的檔案監控和應用程式白名單偵測。

Blackpoint 的調查顯示，CastleLoader會從攻擊者的伺服器下載加密的隱藏軟體包，然後在受害者的電腦上執行攻擊者選擇的任何惡意程式。研究人員觀察到，它已被用於安裝各種惡意軟體，包括 CastleRAT 或NetSupport RAT 等遠端控制工具，以及Stealc、RedLine、Rhadamanthys和 MonsterV2等資訊竊取程式。這證明 CastleLoader 充當了一個多功能的初始存取和載入器，能夠根據攻擊者的目標，投送不同類型的後續惡意酬載。

進一步調查顯示，檔案準備就緒後，攻擊者會使用無視窗解釋器執行一個小型 Python 腳本pythonw.exe。腳本會在沒有任何控制台視窗的情況下秘密運行，直接在記憶體中重建並啟動 CastleLoader，從而避免將可執行檔寫入磁碟。這一步驟是其隱蔽性的關鍵提升。傳統的安全解決方案主要依賴掃描磁碟上的檔案簽章來識別威脅，但記憶體內執行（In-memory execution）技術能夠繞過這種基於磁碟的偵測機制。研究人員指出，攻擊者使用了Python字節碼、記憶體內shellcode 執行和 PEB Walking 來繞過傳統防禦措施。特別是 PEB Walking（Process Environment Block Walking）技術，它允許惡意軟體在不依賴標準 API 呼叫的情況下定位系統資源，進一步增強了規避行為。

總結而言，CastleLoader 的演變展示了網路攻擊活動的幾個重要趨勢：從依賴人工輸入的社會工程作為初始入口，到利用 LoL 工具進行秘密的初始設定，再到最終採用 Python 載入器結合記憶體內執行和進階規避技術（如 PEB Walking）。這種多階段、高隱蔽性的攻擊鏈使得偵測和防禦變得極具挑戰性。

有鑑於此，研究建議管理員應限製或停用大多數使用者對「執行」對話框、cmd.exe、PowerShell 和 Python 程式的訪問，並監控可疑活動，例如Python 從 AppData 資料夾等不尋常的位置運行。此外，組織應投資於具備行為分析和記憶體檢測能力的進階端點偵測與回應（EDR）系統，以應對這種不寫入磁碟的惡意軟體。對 LoL 二進位檔（如 curl.exe 和 tar）的異常使用進行監控，也是防禦此類攻擊的關鍵防線。