Como muestra de innovación en un panorama de amenazas en constante cambio, la empresa de ciberseguridad y cumplimiento normativo Proofpoint ha investigado recientemente al nuevo grupo TA585, altamente sofisticado, que parece controlar toda su cadena de ataque, desde la infraestructura hasta la entrega de correos electrónicos y la instalación de malware. Sin embargo, lo que caracteriza principalmente a estos ciberdelincuentes son sus campañas únicas de inyección web y un complejo sistema de filtrado.

Al gestionar su propia infraestructura, TA585 evita pagar por la distribución, comprar acceso a intermediarios de acceso inicial o utilizar un sistema de entrega de tráfico de terceros. Un aspecto interesante como vector es sus inyecciones web únicas y la actividad “CoreSecThree”, en la que los atacantes registran y mantienen sus propios nombres de dominio con la infraestructura de alojamiento de Cloudflare.

La actividad de TA585 se distribuye a través de sitios comprometidos con una inyección de JavaScript maliciosa. Esto hace que el sitio web cargue un script para crear una superposición en la web y presentar un captcha falso con el que los usuarios verifican que son humanos. A diferencia de otras campañas de inyección web dependientes de sistemas de distribución de tráfico de terceros, TA585 realiza su propio filtrado y comprobaciones para asegurar que una persona real reciba la carga útil.

TA585 entrega frecuentemente el malware MonsterV2, un software vendido en foros de hacking a otros ciberdelincuentes y que posee capacidades de ladrón de información y troyano de acceso remoto. En comparación con otras familias de malware, este es costoso y lo utilizan múltiples ciberdelincuentes. Proofpoint lo observó por primera vez en febrero de 2025 en una campaña de suplantación de identidad con señuelos del servicio de impuestos internos de Estados Unidos dirigida a empresas de finanzas y contabilidad. Los mensajes incluían una URL que enlazaba a un PDF y dirigía a su vez a una página web en la que se utilizaba la técnica ClickFix para inducir a los visitantes a ejecutar un comando malicioso en Windows o PowerShell.

El malware MonsterV2 podría estar llenando vacíos en el ecosistema criminal tras las interrupciones causadas por las fuerzas del orden a otros malware como Lumma Stealer. Es una herramienta completa que permite realizar diversas funciones durante una intrusión: puede enumerar y exfiltrar información sensible como datos de navegador y de inicio de sesión, información de tarjetas de crédito y monederos de criptomonedas; permite visualizar el escritorio de los sistemas infectados y grabar la webcam; establece una conexión similar a un escritorio remoto con el sistema infectado, sin alertar al usuario; y recibe y ejecuta una amplia variedad de comandos, así como cargas útiles adicionales.

“La evolución del cibercrimen y su ecosistema de apoyo ha hecho que el panorama de amenazas sea comparable con el mercado laboral moderno y con la ‘economía gig’ basada en trabajos temporales o esporádicos. No obstante, TA585 se desmarca de esa tendencia, ya que posee y gestiona casi todo su modelo de negocio, excepto el malware final que adquiere como malware como servicio”, explican los investigadores de amenazas de Proofpoint. “El grupo ha adoptado estrategias efectivas para el filtrado, la entrega y la instalación de malware, y seguiremos viendo surgir nuevas familias próximamente”.