Como reflejo de la constante evolución en el panorama de las ciberamenazas, la empresa de ciberseguridad y cumplimiento normativo Proofpoint ha identificado recientemente a un nuevo y sofisticado grupo de ciberdelincuentes denominado TA585, que destaca por controlar de forma integral toda su cadena de ataque: desde la infraestructura y el envío de correos electrónicos hasta la instalación de malware. No obstante, lo que verdaderamente distingue a este grupo son sus campañas exclusivas de inyección web y su avanzado sistema de filtrado.
Al operar con su propia infraestructura, TA585 evita depender de intermediarios o pagar por servicios externos de distribución y acceso inicial. Una de las características más llamativas de su modus operandi son las inyecciones web personalizadas y la actividad conocida como “CoreSecThree”, mediante la cual los atacantes registran y gestionan sus propios dominios utilizando la infraestructura de alojamiento de Cloudflare.
Las campañas de TA585 se propagan a través de sitios web comprometidos mediante la inserción de código JavaScript malicioso, que provoca la carga de un script encargado de generar una superposición en la página y mostrar un captcha falso para verificar que el usuario es humano. A diferencia de otras operaciones similares que dependen de redes de distribución de tráfico de terceros, este grupo lleva a cabo su propio filtrado y verificación, garantizando así que la carga útil llegue únicamente a usuarios reales.
TA585 entrega frecuentemente el malware MonsterV2, un software vendido en foros de hacking a otros ciberdelincuentes y que posee capacidades de ladrón de información y troyano de acceso remoto. En comparación con otras familias de malware, este es costoso y lo utilizan múltiples ciberdelincuentes. Proofpoint lo observó por primera vez en febrero de 2025 en una campaña de suplantación de identidad con señuelos del servicio de impuestos internos de Estados Unidos dirigida a empresas de finanzas y contabilidad. Los mensajes incluían una URL que enlazaba a un PDF y dirigía a su vez a una página web en la que se utilizaba la técnica ClickFix para inducir a los visitantes a ejecutar un comando malicioso en Windows o PowerShell.
El malware MonsterV2 podría estar llenando vacíos en el ecosistema criminal tras las interrupciones causadas por las fuerzas del orden a otros malware como Lumma Stealer. Es una herramienta completa que permite realizar diversas funciones durante una intrusión: puede enumerar y exfiltrar información sensible como datos de navegador y de inicio de sesión, información de tarjetas de crédito y monederos de criptomonedas; permite visualizar el escritorio de los sistemas infectados y grabar la webcam; establece una conexión similar a un escritorio remoto con el sistema infectado, sin alertar al usuario; y recibe y ejecuta una amplia variedad de comandos, así como cargas útiles adicionales.“La evolución del cibercrimen y su ecosistema de apoyo ha hecho que el panorama de amenazas sea comparable con el mercado laboral moderno y con la ‘economía gig’ basada en trabajos temporales o esporádicos. No obstante, TA585 se desmarca de esa tendencia, ya que posee y gestiona casi todo su modelo de negocio, excepto el malware final que adquiere como malware como servicio”, explican los investigadores de amenazas de Proofpoint. “El grupo ha adoptado estrategias efectivas para el filtrado, la entrega y la instalación de malware, y seguiremos viendo surgir nuevas familias próximamente”.
