Proofpoint, empresa mundial en ciberseguridad centrada en las personas y los agentes de IA, ha publicado una investigación exhaustiva sobre el grupo de ciberdelincuencia TA584, un intermediario de acceso inicial de alta confianza, cuyas infecciones frecuentemente conducen a ransomware, robo de datos y compromiso persistente. Solo en 2025, TA584 triplicó el volumen de sus campañas, amplió su segmentación global para dirigirse de manera más consistente a geografías e idiomas específicos, adoptó la ingeniería social ClickFix y comenzó a distribuir una nueva cepa de malware, Tsundere Bot, junto con cargas útiles ya establecidas como XWorm.
Aunque TA584 ha sido rastreado durante varios años, sus campañas anteriores seguían patrones relativamente predecibles en comparación con la variedad de técnicas y la ingeniería social sofisticada observadas en el último año. La actividad anterior solía seguir patrones de mayor duración, con infraestructura, señuelos y mecanismos de entrega reutilizados. En contraste, ahora se caracteriza por una alta rotación de campañas centradas en el correo electrónico y ciclos de vida operativos cortos, con objetivos en Europa y Norteamérica y el uso de señuelos y marcas localizadas para aumentar el éxito.
Respecto a la adopción de la técnica de ingeniería social ClickFix, TA584 depende de que los usuarios caigan en la trampa de cuadros de diálogo con mensajes de error falsos que les instan a copiar, pegar y ejecutar comandos maliciosos de PowerShell en su propio equipo. Estos, a su vez, lanzan scripts remotos intermedios de PowerShell que contienen código ofuscado y activan la descarga del malware.
Además, el grupo de ciberdelincuencia ha añadido a sus campañas la distribución de Tsundere Bot, una puerta trasera de malware-as-a-service que emplea descubrimiento de C2 basado en blockchain y admite actividades posteriores de ransomware. Según informes de terceros, es utilizado por múltiples actores de amenazas diferentes y también se distribuye a través de herramientas de gestión y monitorización remota tras inyecciones web, así como mediante instaladores falsos de videojuegos.
“TA584 muestra cómo los ciberdelincuentes pueden desplegar creatividad e innovar rápidamente para atacar a las personas de manera más efectiva. Sus campañas únicas hacen que las detecciones estáticas y la dependencia de indicadores de compromiso (IoC) no sean defensas efectivas”, explica Selena Larson, analista sénior en inteligencia sobre amenazas de Proofpoint. “Al comprender el comportamiento de grupos como TA584, las organizaciones pueden anticiparse mejor a un panorama de amenazas cambiante. Los atacantes aprenden unos de otros, por lo que es posible que la actividad de alto volumen, altamente personalizada y en constante evolución de este grupo sea adoptada por otros en el futuro”.
El cibercrimen ha experimentado cambios drásticos en cuanto a comportamientos, enfoque y uso de malware durante el último año, con muchos grupos prioritarios desapareciendo del radar del correo electrónico como vector de amenaza. TA584 rompe, sin embargo, esta tendencia y ha demostrado patrones consistentes desde 2020, aunque la actividad reciente indica que los atacantes tratan de infectar a un espectro más amplio de objetivos. Desde Proofpoint consideran probable que TA584 se centre más en Europa y continúe experimentando con diferentes cargas útiles, incluidas herramientas de acceso remoto disponibles a la venta en mercados criminales. Por ello, los expertos en seguridad recomiendan a las organizaciones vigilar activamente las técnicas de TA584 e implementar medidas defensivas preventivas, como restringir la ejecución de PowerShell a usuarios que no lo necesiten para sus funciones laborales y bloquear los hosts conocidos asociados a estos ciberdelincuentes.
