LEBIGDATA.FR I.A, Cloud & Cybersécurité
Le groupe TA584 multiplie les campagnes malveillantes en 2025. Son usage du malware Tsundere Bot et de l’ingénierie sociale ClickFix met à l’épreuve les défenses traditionnelles.
Les chercheurs de Proofpoint tirent la sonnette d’alarme. Le groupe cybercriminel TA584, déjà connu pour son agressivité, redouble d’intensité en 2025. Triplement actif, toujours plus agile et mondialement ciblant, il illustre la difficulté croissante à suivre des assaillants en perpétuelle mutation.
Une cadence inédite et une stratégie mouvante
TA584, identifié comme courtier d’accès initial, ne cesse d’accélérer. Depuis le printemps 2025, le groupe enchaîne les campagnes, souvent éphémères, dont la durée de vie se compte en heures. Chaque vague adopte un thème, une marque ou un prétexte spécifique, avant d’être abandonnée au profit d’une autre. Cette approche par itération constante remplace les tactiques figées et complique drastiquement la détection.
Les experts relèvent une croissance exponentielle des opérations : le volume mensuel a été multiplié par trois en moins d’un an. TA584 profite de cette vélocité pour tester de nouvelles techniques, contourner les règles de filtrage, et rendre obsolètes les signatures statiques utilisées par les antivirus classiques.
ClickFix : l’utilisateur comme vecteur d’infection
Parmi les évolutions notables figure l’adoption massive du procédé ClickFix. Cette méthode de manipulation repose sur de faux messages d’erreur qui invitent l’utilisateur à copier manuellement une commande PowerShell. Une fois exécutée, celle-ci lance un script distant qui télécharge un malware, le tout sans que l’utilisateur ait conscience de sa participation.
Ce mécanisme déroute les systèmes de sécurité, qui peinent à suivre un scénario dans lequel l’action malveillante semble provenir d’un comportement utilisateur légitime. Les campagnes liées utilisent des pages bien construites, assorties de CAPTCHA, pour renforcer la crédibilité du piège.
Tsundere Bot : une nouvelle arme, décentralisée et furtive
TA584 ne se contente plus de diffuser XWorm. Depuis novembre, un nouveau malware fait son apparition : Tsundere Bot. Proposé en modèle « malware-as-a-service« , il est capable de récupérer ses ordres via la blockchain Ethereum. Cela rend sa détection particulièrement complexe.
Ce logiciel malveillant installe Node.js, contourne les protections système, et maintient une communication persistante avec son serveur distant. Il recueille des informations système, permet l’exécution de code à distance, et peut préparer des attaques par rançongiciel. Sa sophistication technique, doublée d’une distribution déjà observée sur plusieurs campagnes, en fait une menace de premier plan.
Article basé sur un communiqué de presse reçu par la rédaction.
Restez à la pointe de l'information avec LEBIGDATA.FR !
- Partager l'article :
