"Prominente cyberdreiging gaat tegen trend in en toont consistentie"

Het dreigingslandschap onderging het afgelopen jaar veel veranderingen op het gebied van gedrag, doelwitten en malwaregebruik. Veel dreigingsactoren zijn hiermee verdwenen. TA584 gaat tegen deze trend in en vertoont juist consistentie in gedragspatronen en het soort doelwitten. Recente verschuivingen tonen hierbij aan dat de actor probeert om een breder scala aan doelwitten te infecteren.

Onderzoek naar dreigingsactor TA584 laat zien dat de dreigingsactor snel evolueert, concluderen onderzoekers van cybersecuritybedrijf Proofpoint. De snelle ontwikkeling van de dreigingsactor zorgt ervoor dat statische detectie moeite heeft met deze snelle aanvallers. 

TA584 verdrievoudigde het campagnevolume in 2025. Ook breidde het de doelwitten uit, nam het ClickFix social engineering in gebruik en begon het een nieuwe malwarevariant, Tsundere Bot genaamd, te verspreiden. Dit deed het naast de gevestigde payloads zoals XWorm. De onderzoekers van Proofpoint beoordelen TA584 als een zeer betrouwbare ‘initial access broker’. De infecties hiervan leiden vaak tot ransomware, datadiefstal en aanhoudende compromittering.  

Uit het onderzoek blijkt: 

• Meedogenloze innovatie: TA854 lanceert, wijzigt en beëindigt campagnes binnen enkele uren of dagen. Hierbij gaat de voorkeur uit naar voortdurende iteratie boven hergebruik.  
• Toepassing van ClickFix: de dreigingsactor maakt veel gebruik van valse foutmeldingen. Hiermee misleidt het gebruikers om zelf kwaadaardige PowerShell-opdrachten uit te voeren.  
• Een nieuwe malware: TA584 voegt Tsundere Bot toe. Dit is een Malware-as-a-Service backdoor die gebruik maakt van op blockchain gebaseerde C2-detectie. Ook ondersteunt het ransomware vervolgactivteiten.  
• Wereldwijde doelgerichtheid breidt uit: onderzoekers zien dat de campagnes steeds vaker afwisselen tussen Europa en Noord-Amerika. Hierbij worden gelokaliseerde lokmiddelen en branding ingezet waardoor de dreigingsactor het succes van de campagne vergroot. 

Dit onderzoek biedt het meest uitgebreide, openbare inzicht in de prominente cybercriminele actor. De dreigingsactor, TA584, richt zich met geavanceerde social engineering en steeds veranderende technieken vaak op Noord-Amerika en Europa", zegt Selena Larson, Senior Threat Analyst bij Proofpoint.

“Het onderzoek toont ook aan hoe creatief cybercriminelen zijn en hoe snel zij kunnen innoveren om mensen nog doeltreffender te benaderen. In 2025 veranderde TA584 enorm. Zo ging het gebruik maken van nieuwe social engineeringtechnieken, zoals ClickFix, en malware, zoals Tsundere Bot. Deze worden nog steeds gebruikt in aanvallen. De campagnes van TA584 zijn unieke, statische detecties. Hierdoor voldoet het vertrouwen op IOC’s als effectieve verdedigingsmiddelen alleen niet langer.  

Lees hier het volledig Engelstalige onderzoek.