Proofpoint alerta de la innovación en el acceso inicial del grupo criminal TA584

La empresa de ciberseguridad Proofpoint alerta de que TA584, uno de los actores de amenazas cibercriminales más destacados rastreados por los investigadores de todo el mundo, ha triplicado su actividad maliciosa en un año mientras innova en sus técnicas como intermediario de acceso inicial.

Según la investigación exhaustiva llevada a cabo por Proofpoint sobre el grupo de ciberdelincuencia, solo en 2025, TA584 amplió el volumen de sus campañas así como la segmentación global para dirigirse de manera más consistente a geografías e idiomas específicos, adoptando la ingeniería social ClickFix. Además, también comenzó a distribuir una nueva cepa de malware, Tsundere Bot, junto con cargas útiles ya establecidas como XWorm.

Alta rotación de campañas

Aunque TA584 ha sido rastreado durante varios años, sus campañas anteriores seguían patrones relativamente predecibles en comparación con la variedad de técnicas y la ingeniería social sofisticada observadas en el último año. La actividad anterior solía seguir patrones de mayor duración, con infraestructura, señuelos y mecanismos de entrega reutilizados. En contraste, ahora se caracteriza por una alta rotación de campañas centradas en el correo electrónico y ciclos de vida operativos cortos, con objetivos en Europa y Norteamérica y el uso de señuelos y marcas localizadas para aumentar el éxito.

Respecto a la adopción de la técnica de ingeniería social ClickFix, TA584 depende de que los usuarios caigan en la trampa de cuadros de diálogo con mensajes de error falsos que les instan a copiar, pegar y ejecutar comandos maliciosos de PowerShell en su propio equipo. Estos, a su vez, lanzan scripts remotos intermedios de PowerShell que contienen código ofuscado y activan la descarga del malware.

Además, el grupo de ciberdelincuencia ha añadido a sus campañas la distribución de Tsundere Bot, una puerta trasera de malware-as-a-service que emplea descubrimiento de C2 basado en blockchain y admite actividades posteriores de ransomware. Según informes de terceros, es utilizado por múltiples actores de amenazas diferentes y también se distribuye a través de herramientas de gestión y monitorización remota tras inyecciones web, así como mediante instaladores falsos de videojuegos.

“TA584 muestra cómo los ciberdelincuentes pueden desplegar creatividad e innovar rápidamente para atacar a las personas de manera más efectiva. Sus campañas únicas hacen que las detecciones estáticas y la dependencia de indicadores de compromiso (IoC) no sean defensas efectivas”, explica Selena Larson, analista sénior en inteligencia sobre amenazas de Proofpoint. “Al comprender el comportamiento de grupos como TA584, las organizaciones pueden anticiparse mejor a un panorama de amenazas cambiante. Los atacantes aprenden unos de otros, por lo que es posible que la actividad de alto volumen, altamente personalizada y en constante evolución de este grupo sea adoptada por otros en el futuro”.

Alcance de los datos

El cibercrimen ha experimentado cambios drásticos en cuanto a comportamientos, enfoque y uso de malware durante el último año, con muchos grupos prioritarios desapareciendo del radar del correo electrónico como vector de amenaza. TA584 rompe, sin embargo, esta tendencia y ha demostrado patrones consistentes desde 2020, aunque la actividad reciente indica que los atacantes tratan de infectar a un espectro más amplio de objetivos.

El grupo de ciberdelincuencia TA584 ha añadido a sus campañas la distribución de Tsundere Bot, una puerta trasera de malware-as-a-service

Desde Proofpoint consideran probable que TA584 se centre más en Europa y continúe experimentando con diferentes cargas útiles, incluidas herramientas de acceso remoto disponibles a la venta en mercados criminales. Por ello, los expertos en seguridad recomiendan a las organizaciones vigilar activamente las técnicas de TA584 e implementar medidas defensivas preventivas, como restringir la ejecución de PowerShell a usuarios que no lo necesiten para sus funciones laborales y bloquear los hosts conocidos asociados a estos ciberdelincuentes.

Recomendaciones de defensa que hace Proofpoint

• Restrinja a los usuarios ejecutar PowerShell a menos que sea necesario para su función laboral.
• Utilice políticas de control de aplicaciones (como AppLocker o Control de aplicaciones de Windows Defender) para evitar la ejecución de herramientas como node.exe desde ubicaciones no estándar y escribibles por el usuario, como “C:Users*AppDataLocal”.
• Cree reglas de detección para powershell[.]exe o cmd[.]exe que generen un proceso node[.]exe, especialmente cuando node[.]exe se encuentra en AppData de un usuario u otras ubicaciones no estándar.
• Bloquear o monitorizar los endpoints de Ethereum. El malware se basa en una lista codificada de proveedores públicos de RPC de Ethereum para obtener la dirección de su servidor C2. Bloquear (o monitorear) el tráfico saliente a estas URL específicas en el firewall de red o el proxy web puede impedir que el malware reciba sus instrucciones.
• Inspeccionar el tráfico de WebSockets. El malware utiliza WebSockets (ws:// o wss://) para la comunicación C2. Implementar la monitorización de red para detectar e inspeccionar las conexiones de WebSockets a dominios desconocidos o sin categorizar.
• Considere deshabilitar Windows+R a través de la Política de grupo para los usuarios que no lo necesitan para su función laboral. 
• Las organizaciones deben capacitar a los usuarios para que identifiquen la actividad y reporten cualquier actividad sospechosa a sus equipos de seguridad. Esta capacitación es muy específica, pero puede integrarse en un programa de capacitación de usuarios existente.