"Prominente cyberdreiging gaat tegen trend in en toont consistentie"
Het dreigingslandschap onderging het afgelopen jaar veel veranderingen op het gebied van gedrag, doelwitten en malwaregebruik. Veel dreigingsactoren zijn hiermee verdwenen. TA584 gaat tegen deze trend in en vertoont juist consistentie in gedragspatronen en het soort doelwitten. Recente verschuivingen tonen hierbij aan dat de actor probeert om een breder scala aan doelwitten te infecteren.
Onderzoek naar dreigingsactor TA584 laat zien dat de dreigingsactor snel evolueert, concluderen onderzoekers van cybersecuritybedrijf Proofpoint. De snelle ontwikkeling van de dreigingsactor zorgt ervoor dat statische detectie moeite heeft met deze snelle aanvallers.
TA584 verdrievoudigde het campagnevolume in 2025. Ook breidde het de doelwitten uit, nam het ClickFix social engineering in gebruik en begon het een nieuwe malwarevariant, Tsundere Bot genaamd, te verspreiden. Dit deed het naast de gevestigde payloads zoals XWorm. De onderzoekers van Proofpoint beoordelen TA584 als een zeer betrouwbare ‘initial access broker’. De infecties hiervan leiden vaak tot ransomware, datadiefstal en aanhoudende compromittering.
Uit het onderzoek blijkt:
- Meedogenloze innovatie: TA854 lanceert, wijzigt en beëindigt campagnes binnen enkele uren of dagen. Hierbij gaat de voorkeur uit naar voortdurende iteratie boven hergebruik.
- Toepassing van ClickFix: de dreigingsactor maakt veel gebruik van valse foutmeldingen. Hiermee misleidt het gebruikers om zelf kwaadaardige PowerShell-opdrachten uit te voeren.
- Een nieuwe malware: TA584 voegt Tsundere Bot toe. Dit is een Malware-as-a-Service backdoor die gebruik maakt van op blockchain gebaseerde C2-detectie. Ook ondersteunt het ransomware vervolgactivteiten.
- Wereldwijde doelgerichtheid breidt uit: onderzoekers zien dat de campagnes steeds vaker afwisselen tussen Europa en Noord-Amerika. Hierbij worden gelokaliseerde lokmiddelen en branding ingezet waardoor de dreigingsactor het succes van de campagne vergroot.
Dit onderzoek biedt het meest uitgebreide, openbare inzicht in de prominente cybercriminele actor. De dreigingsactor, TA584, richt zich met geavanceerde social engineering en steeds veranderende technieken vaak op Noord-Amerika en Europa", zegt Selena Larson, Senior Threat Analyst bij Proofpoint.
“Het onderzoek toont ook aan hoe creatief cybercriminelen zijn en hoe snel zij kunnen innoveren om mensen nog doeltreffender te benaderen. In 2025 veranderde TA584 enorm. Zo ging het gebruik maken van nieuwe social engineeringtechnieken, zoals ClickFix, en malware, zoals Tsundere Bot. Deze worden nog steeds gebruikt in aanvallen. De campagnes van TA584 zijn unieke, statische detecties. Hierdoor voldoet het vertrouwen op IOC’s als effectieve verdedigingsmiddelen alleen niet langer.
Lees hier het volledig Engelstalige onderzoek.
Meer over
Lees ook
WatchGuard waarschuwt voor nieuwe FormBook-phishingaanvallen die beveiliging slimmer omzeilen
WatchGuard Technologies waarschuwt voor nieuwe phishingcampagnes die de bekende FormBook-malware verspreiden. Het risico zit volgens het bedrijf niet alleen in de malware zelf, maar ook in de manier waarop aanvallers te werk gaan. Ze gebruiken legitieme software en slimme versleuteling om beveiliging te ontwijken.
Een kijkje in het draaiboek van een vrachtdief na de inbraak
Onderzoekers van Proofpoint voerden eind februari 2026 een kwaadaardige payload van een dreigingsactor uit binnen een gecontroleerde lokomgeving. Deze werd beheerd door Deception.pro, een partner van het cybersecuritybedrijf. De payload had het gemunt op transportbedrijven.
Nieuwe operatie PowerOFF – internationale politie actie tegen booters
Europol heeft een nieuwe internationale politie actie gecoördineerd tegen de aanbieders en gebruikers van DDoS-for-hire-platforms, ook wel bekend als booters. Kijk vooral naar het enorme aantal gebruikers dat is benaderd, zoals genoemd in het vertaalde persbericht.