Het dreigingslandschap
onderging het afgelopen jaar veel veranderingen op het gebied van
gedrag, doelwitten en malwaregebruik. Veel dreigingsactoren zijn
hiermee verdwenen. TA584 gaat tegen deze trend in en vertoont
juist consistentie in gedragspatronen en het soort doelwitten.
Recente verschuivingen tonen hierbij aan dat de actor probeert om een
breder scala aan doelwitten te infecteren. Nieuw onderzoek naar
dreigingsactor TA584 laat zien dat de dreigingsactor snel
evolueert, concluderen onderzoekers van cybersecuritybedrijf Proofpoint.
De snelle ontwikkeling van de dreigingsactor zorgt ervoor dat statische
detectie moeite heeft met deze snelle aanvallers.
TA584 verdrievoudigde
het campagnevolume in 2025. Ook breidde het de doelwitten uit, nam
het ClickFix social engineering in gebruik en
begon het een nieuwe
malwarevariant, Tsundere Bot genaamd, te
verspreiden. Dit deed het naast de
gevestigde payloads zoals XWorm. De onderzoekers
van Proofpoint beoordelen TA584 als een zeer betrouwbare
‘initial access broker’. De infecties hiervan leiden vaak
tot ransomware, datadiefstal en
aanhoudende compromittering.
Dit zijn de
hoogtepunten uit het onderzoek:
- Meedogenloze innovatie: TA854 lanceert, wijzigt en beëindigt campagnes
binnen enkele uren of dagen. Hierbij gaat de voorkeur uit naar
voortdurende iteratie boven hergebruik.
- Toepassing van ClickFix: de dreigingsactor maakt veel gebruik van valse
foutmeldingen. Hiermee misleidt het gebruikers om zelf
kwaadaardige PowerShell-opdrachten uit te voeren.
- Een nieuwe malware: TA584 voegt Tsundere Bot toe.
Dit is een Malware-as-a-Service backdoor die gebruik maakt van op
blockchain gebaseerde C2-detectie. Ook ondersteunt
het ransomware vervolgactivteiten.
- Wereldwijde doelgerichtheid breidt uit: onderzoekers zien dat de
campagnes steeds vaker afwisselen tussen Europa en
Noord-Amerika. Hierbij worden gelokaliseerde lokmiddelen en
branding ingezet waardoor de dreigingsactor het succes van de
campagne vergroot.
“Dit onderzoek biedt het
meest uitgebreide, openbare inzicht in de prominente cybercriminele
actor. De dreigingsactor, TA584, richt zich met geavanceerde social
engineering en steeds veranderende technieken vaak op Noord-Amerika en
Europa", zegt Selena Larson, Senior Threat Analyst bij Proofpoint.
“Het onderzoek toont ook aan hoe creatief cybercriminelen zijn en hoe
snel zij kunnen innoveren om mensen nog doeltreffender te benaderen. In
2025 veranderde TA584 enorm. Zo ging het gebruik maken van nieuwe social
engineeringtechnieken, zoals ClickFix, en malware, zoals Tsundere Bot.
Deze worden nog steeds gebruikt in aanvallen. De campagnes van TA584
zijn unieke, statische detecties. Hierdoor voldoet het vertrouwen op
IOC’s als effectieve verdedigingsmiddelen alleen niet langer.
“Het is bekend dat
cybercriminelen van elkaar leren. Ook is het mogelijk dat de
omvangrijke, sterk gepersonaliseerde en continu evoluerende
activiteiten van deze dreigingsactor worden overgenomen in de toekomst.
Door het gedrag van actoren zoals TA548 te begrijpen, kunnen
organisaties het steeds evoluerende cyberlandschap beter begrijpen en
verdedigen.”
Lees
hier het
volledig Engelstalige onderzoek.