Negli ultimi mesi, i ricercatori di Proofpoint hanno monitorato TA584, uno degli attori di minacce informatiche più attivi sul mercato che sta evolvendo rapidamente le sue tecniche di accesso iniziale, dimostrando perché le rilevazioni statiche fatichino a contrastare attori cyber così veloci ed efficaci.

Nel 2025, TA584 ha triplicato il volume delle sue campagne, ampliato il raggio d’azione a livello globale, adottato tecniche di social engineering ClickFix e iniziato a distribuire un nuovo ceppo di malware (Tsundere Bot), insieme a payload già noti come XWorm. Proofpoint considera TA584 un “initial access broker di alta affidabilità, le cui infezioni portano frequentemente a ransomware, furto di dati e compromissioni persistenti.”

Questi i principali aspetti emersi dalla ricerca:

  • TA584 lancia, modifica e ritira le campagne in ore o giorni, preferendo l’iterazione costante al riutilizzo
  • Ora il gruppo fa grande affidamento su falsi messaggi di errore che inducono gli utenti a eseguire da soli comandi PowerShell malevoli
  • TA584 ha aggiunto Tsundere Bot, una backdoor “malware-as-a-service” che utilizza la scoperta di C2 (Command and Control) basata su blockchain e supporta attività successive di ransomware
  • Le campagne si alternano sempre più tra Nord America ed Europa, con esche e branding localizzati per aumentare le probabilità di successo

sostenibilità

Colpendo frequentemente il Nord America e l’Europa con social engineering sofisticato e tecniche in continua evoluzione, TA584 dimostra come i criminali possano essere molto creativi e innovare rapidamente per colpire le persone in modo più efficace. Nel 2025, TA584 ha mostrato cambiamenti importanti, tra cui nuove tecniche di social engineering come ClickFix e, a causa dell’unicità delle sue campagne,le rilevazioni statiche e la sola dipendenza dagli IOC (Indicatori di Compromissione) non sono difese efficaci da questo attore” afferma Selena Larson, senior threat intelligence analyst di Proofpoint.

Il panorama delle minacce ha subìto drastici cambiamenti nei comportamenti, nel targeting e nell’uso di malware nell’ultimo anno, con la scomparsa di molti attori principali nel 2025. TA584, tuttavia, è in controtendenza e ha mostrato modelli di comportamento e di targeting costanti dal 2020, con recenti cambiamenti che dimostrano come questo attore stia tentando di infettare una gamma più ampia di obiettivi.

I ricercatori Proofpoint ritengono probabile che TA584 aumenti il suo raggio d’azione in Europa nel corso del 2026 ed è anche possibile che continui a sperimentare con diversi payload, come Tsundere Bot o altri payload di accesso remoto recentemente messi in vendita sui mercati criminali.

(Immagine in apertura: Shutterstock)