"Prominente cyberdreiging gaat tegen trend in en toont consistentie"
Het dreigingslandschap onderging het afgelopen jaar veel veranderingen op het gebied van gedrag, doelwitten en malwaregebruik. Veel dreigingsactoren zijn hiermee verdwenen. TA584 gaat tegen deze trend in en vertoont juist consistentie in gedragspatronen en het soort doelwitten. Recente verschuivingen tonen hierbij aan dat de actor probeert om een breder scala aan doelwitten te infecteren.
Onderzoek naar dreigingsactor TA584 laat zien dat de dreigingsactor snel evolueert, concluderen onderzoekers van cybersecuritybedrijf Proofpoint. De snelle ontwikkeling van de dreigingsactor zorgt ervoor dat statische detectie moeite heeft met deze snelle aanvallers.
TA584 verdrievoudigde het campagnevolume in 2025. Ook breidde het de doelwitten uit, nam het ClickFix social engineering in gebruik en begon het een nieuwe malwarevariant, Tsundere Bot genaamd, te verspreiden. Dit deed het naast de gevestigde payloads zoals XWorm. De onderzoekers van Proofpoint beoordelen TA584 als een zeer betrouwbare ‘initial access broker’. De infecties hiervan leiden vaak tot ransomware, datadiefstal en aanhoudende compromittering.
Uit het onderzoek blijkt:
- Meedogenloze innovatie: TA854 lanceert, wijzigt en beëindigt campagnes binnen enkele uren of dagen. Hierbij gaat de voorkeur uit naar voortdurende iteratie boven hergebruik.
- Toepassing van ClickFix: de dreigingsactor maakt veel gebruik van valse foutmeldingen. Hiermee misleidt het gebruikers om zelf kwaadaardige PowerShell-opdrachten uit te voeren.
- Een nieuwe malware: TA584 voegt Tsundere Bot toe. Dit is een Malware-as-a-Service backdoor die gebruik maakt van op blockchain gebaseerde C2-detectie. Ook ondersteunt het ransomware vervolgactivteiten.
- Wereldwijde doelgerichtheid breidt uit: onderzoekers zien dat de campagnes steeds vaker afwisselen tussen Europa en Noord-Amerika. Hierbij worden gelokaliseerde lokmiddelen en branding ingezet waardoor de dreigingsactor het succes van de campagne vergroot.
Dit onderzoek biedt het meest uitgebreide, openbare inzicht in de prominente cybercriminele actor. De dreigingsactor, TA584, richt zich met geavanceerde social engineering en steeds veranderende technieken vaak op Noord-Amerika en Europa", zegt Selena Larson, Senior Threat Analyst bij Proofpoint.
“Het onderzoek toont ook aan hoe creatief cybercriminelen zijn en hoe snel zij kunnen innoveren om mensen nog doeltreffender te benaderen. In 2025 veranderde TA584 enorm. Zo ging het gebruik maken van nieuwe social engineeringtechnieken, zoals ClickFix, en malware, zoals Tsundere Bot. Deze worden nog steeds gebruikt in aanvallen. De campagnes van TA584 zijn unieke, statische detecties. Hierdoor voldoet het vertrouwen op IOC’s als effectieve verdedigingsmiddelen alleen niet langer.
Lees hier het volledig Engelstalige onderzoek.
Meer over
Lees ook
Tesorion kiest Passguard als partner: eerste MSSP met infostealer-monitoring
Cybersecuritydienstverlener Tesorion heeft Passguard aangesteld als specialistische partner voor het detecteren van met infostealers geïnfecteerde apparaten en de daarbij buitgemaakte sessies. Daarmee positioneert Tesorion zich als de eerste Nederlandse managed security service provider (MSSP) die infostealer-monitoring expliciet.
Hoe het hoogseizoen retailers blootstelt aan schade door cybercriminaliteit
Voor Nederlandse retailers behoren Black Friday, Sinterklaas en kerst tot de drukste perioden van het jaar. Deze dagen trekken een enorme wissel op hun webwinkel, het betalingsverkeer, logistieke processen, voorraadsystemen en tal van andere bedrijfsaspecten. Deze piekperioden gaan niet ongemerkt voorbij aan cybercriminelen.
Barracuda Email Threat Radar November 2025
De afgelopen maand hebben onderzoekers van Barracuda verschillende opmerkelijke e-maildreigingen geïdentificeerd gericht op organisaties van over de hele wereld. Het gaat onder andere om: