Güvenlik ekiplerinin tetikte olduğu siber istihbarat raporlarında yeni bir isim ortaya çıkıyor. CastleLoader olarak bilinen bu araç, 2025’in başlarından bu yana yüksek güvenlikli ortamları hedef alan saldırganların başvurduğu bir araç haline geldi.
Hackread.com’un Aralık 2025’te bildirdiği gibi, CastleLoader’ın önceki sürümleri Temmuz ve Ağustos 2025’te analiz edildi. Siber güvenlik analiz firması ANY.RUN artık daha yeni ve daha gizli bir sürüm tespit etti.
ANY.RUN araştırmacıları onu, çok daha yıkıcı saldırılar için sessiz bir giriş noktası görevi gören özel bir yazılım olan bir ‘yükleyici’ olarak tanımladılar. Soruşturma, CastleLoader’ın halihazırda en az 469 cihazın güvenliğini ihlal ettiğini ve ağırlıklı olarak ABD devlet kurumlarına ve lojistik ve seyahat sektörleri de dahil olmak üzere Avrupa genelindeki kritik altyapıya odaklandığını ortaya çıkardı.
Tıklayarak Kandırıldık
Araştırmacılar, CastleLoader’ın her zaman karmaşık bilgisayar korsanlığına güvenmediğini belirtti; çoğu zaman kişinin tek bir hata yapması yeterlidir. ClickFix olarak bilinen bir sosyal mühendislik hilesi kullanıyor. Bu durumlarda kullanıcı sahte bir “güncelleme” veya “doğrulama” açılır penceresi görebilir. Kullanıcı sorunu “düzeltmek” için tıklarsa, aslında kötü amaçlı yazılımın çalışmaya başlamasına izin veriyor demektir. Kötü amaçlı yazılım genellikle şunu söyleyen sahte bir mesaj kullanır:
“Program başlatılamıyor çünkü VCRUNTIME140.dll bilgisayarınızda yok.”
Bu akıllıca bir kılık değiştirme çünkü sıkıcı, günlük bir Windows arızası gibi görünüyor. Ancak kullanıcının kafası karışıkken CastleLoader zaten meşgul. Genellikle yaygın bir kurulum aracı olan Inno Setup’ı kullanan bir paket olarak gelir ve sistemi saldırının bir sonraki aşamasına hazırlamak için AutoIt adlı bir komut dosyasını çalıştırır.
Kötü amaçlı yazılım, bir sistemi başarılı bir şekilde istila ettikten sonra süreç boşaltma işlemini gerçekleştirir. Bu, meşru bir Windows aracının çağrıldığı bir hiledir. jsc.exe kaçırılıyor. Araştırmacılara göre kötü amaçlı yazılım, güvenli kodun “boşluğunu açıyor” ve onun yerine kötü amaçlı talimatlar koyuyor. “Kötü” kod, “iyi” bir programın belleğinde çalıştığından, çoğu standart antivirüs aracı onu işaretlemez bile.
Daha ayrıntılı incelemeler, CastleLoader’ın yerleştikten sonra adresteki komuta merkezini geri çağırdığını ortaya çıkardı. 94.159.113.32. Buradan, yabancı bir kişiye ağın tam kontrolünü vermek için şifreleri veya RAT’ları (Uzaktan Erişim Truva Atları) ele geçirmek için bilgi çalan programları indirebilir.
En tehlikelisi CastleLoader’ın hafıza tabanlı saldırılar kullanmasıdır. Görünür bir dosyayı sabit sürücünüze kaydetmek yerine, kötü amaçlı kod tamamen bilgisayarın geçici belleğinde (RAM) gizlenir. Hiçbir zaman kalıcı bir dosya bırakmadığından hayalet gibi davranarak diskteki yalnızca kötü dosyaları tarayan standart antivirüs programlarından kaçmasına olanak tanır. Bu kötü amaçlı yazılım çok kolay atlatıldığı için, geleneksel güvenlik önlemleri genellikle onu tespit edemiyor.
CastleLoader’ın keşfi, en iyi savunmanın akıllı teknoloji ile uyanık kalmanın bir karışımı olduğunu kanıtlıyor. Güvenlik uzmanları teknik arka kapıları engellemek için çalışırken, şüpheli açılır pencerelere karşı gösterdiğimiz dikkat, dijital tehditlere karşı sahip olduğumuz en güçlü kalkan olmaya devam ediyor.