Proofpoint, compañía líder mundial en ciberseguridad centrada en la protección de las personas y los agentes de inteligencia artificial, ha publicado un análisis en profundidad sobre la actividad del grupo de ciberdelincuencia TA584, un intermediario de acceso inicial considerado de alta confianza y cuyas infecciones suelen derivar en ataques de ransomware, robo de información y compromisos persistentes de los sistemas.
Según la investigación, durante 2025 TA584 ha intensificado de forma notable su actividad, triplicando el volumen de sus campañas. Además, el grupo ha ampliado su alcance global, dirigiéndose de manera más precisa a regiones, idiomas y mercados concretos, especialmente en Europa y Norteamérica. Entre las principales novedades destaca la adopción de la técnica de ingeniería social conocida como ClickFix y la incorporación de una nueva cepa de malware, Tsundere Bot, junto a otras cargas ya habituales como XWorm.
Aunque TA584 lleva años bajo el seguimiento de los investigadores, sus campañas anteriores eran relativamente predecibles, con infraestructuras y métodos reutilizados durante largos periodos. En el último año, sin embargo, su operativa ha cambiado de forma significativa: ahora emplea campañas de corta duración, con una alta rotación y centradas principalmente en el correo electrónico, utilizando señuelos y marcas localizadas para aumentar la efectividad de los ataques.
En cuanto a ClickFix, esta técnica se basa en engañar a los usuarios mediante falsos mensajes de error que les solicitan copiar, pegar y ejecutar comandos maliciosos de PowerShell en sus propios equipos. Estos comandos activan scripts remotos con código ofuscado que terminan descargando el malware en el sistema comprometido.
La investigación de Proofpoint también señala la introducción de Tsundere Bot en las campañas del grupo. Se trata de una puerta trasera ofrecida como malware-as-a-service, que utiliza mecanismos de comunicación basados en blockchain para el descubrimiento de servidores de mando y control (C2) y facilita actividades posteriores, como el despliegue de ransomware. Informes externos indican que esta herramienta es utilizada por distintos actores maliciosos y que también se distribuye a través de instaladores falsos de videojuegos o mediante herramientas de gestión remota comprometidas.
“TA584 es un ejemplo claro de cómo los ciberdelincuentes innovan y se adaptan rápidamente para atacar de forma más eficaz a las personas”, explica Selena Larson, analista sénior de inteligencia de amenazas en Proofpoint. “Sus campañas tan cambiantes y personalizadas hacen que las defensas basadas únicamente en indicadores de compromiso o detecciones estáticas sean insuficientes”.
El informe subraya que, aunque en el último año muchos grupos han reducido el uso del correo electrónico como vector de ataque, TA584 ha mantenido este canal como eje central de su actividad desde 2020, ampliando ahora su espectro de objetivos. Desde Proofpoint consideran probable que el grupo intensifique su foco en Europa y continúe probando nuevas cargas maliciosas, incluidas herramientas de acceso remoto disponibles en mercados clandestinos.
Ante este escenario, los expertos recomiendan a las organizaciones reforzar sus medidas preventivas, vigilar de cerca las técnicas empleadas por TA584 y limitar, por ejemplo, la ejecución de PowerShell a los usuarios que realmente lo necesiten, así como bloquear los hosts conocidos vinculados a esta amenaza.
