Um prolific **initial access broker** identificado como TA584 vem utilizando o malware Tsundere Bot, em conjunto com o trojan de acesso remoto XWorm, para invadir redes — um passo que pode abrir caminho para ataques de ransomware.
Pesquisadores monitoram as atividades do TA584 desde 2020 e apontam um aumento significativo nas operações recentemente.
A ameaça adotou uma cadeia de ataques contínua, o que dificulta sua detecção por métodos estáticos.
O Tsundere Bot foi inicialmente documentado pela Kaspersky no ano passado e atribuído a um operador de língua russa com vínculos ao malware 123 Stealer.
Embora seus objetivos e métodos fossem pouco claros na época, a Proofpoint observa que o malware pode ser usado para coleta de informações, exfiltração de dados, movimentação lateral e instalação de cargas adicionais.
“Como a Proofpoint observou o uso do Tsundere Bot pelo TA584, avaliamos com alta confiança que infecções por esse malware podem resultar em ataques de ransomware”, afirmam os pesquisadores.
No final de 2025, a atividade do TA584 triplicou em volume em relação ao primeiro trimestre do mesmo ano, ampliando seu foco além da América do Norte e do Reino Unido/Irlanda, alcançando Alemanha, diversos países europeus e Austrália.
A cadeia de ataque predominante atualmente começa com envios de e-mails a partir de centenas de contas antigas comprometidas, distribuídos por meio das plataformas SendGrid e Amazon Simple Email Service (SES).
Esses e-mails contêm URLs únicas para cada alvo, aplicam geofencing e filtragem de IP, além de utilizarem mecanismos de redirecionamento, frequentemente envolvendo serviços de direcionamento de tráfego (TDS) como o Keitaro.
Os alvos que passam pelas verificações são encaminhados a uma página CAPTCHA, seguida por um site falso chamado ClickFix, que instrui o usuário a executar um comando PowerShell em sua máquina.
Esse comando baixa e executa um script ofuscado, carregando na memória o XWorm ou o Tsundere Bot, enquanto redireciona o navegador para um site legítimo, como forma de disfarce.
Ao longo dos anos, o TA584 utilizou diversas cargas maliciosas, entre elas Ursnif, LDR4, WarmCookie, Xeno RAT, Cobalt Strike e DCRAT — este último registrado em incidentes até 2025.
O Tsundere Bot é uma plataforma malware-as-a-service que funciona como backdoor e loader.
Para operar, depende do Node.js, que é instalado na máquina da vítima por meio de instaladores gerados pelo painel de comando e controle (C2).
O endereço do servidor C2 é obtido via blockchain Ethereum, usando uma variação da técnica EtherHiding.
Além disso, há um endereço fallback codificado no instalador para garantir a comunicação.
A comunicação com os servidores C2 ocorre via WebSockets, e o malware também verifica o idioma do sistema infectado, abortando a execução caso identifique línguas de países da Comunidade de Estados Independentes (principalmente russo).
O Tsundere Bot coleta informações do sistema para construir um perfil das máquinas infectadas, pode executar código JavaScript arbitrário enviado pelo C2 e permite que os hosts comprometidos funcionem como proxies SOCKS.
A plataforma ainda oferece um marketplace interno onde bots podem ser comprados e vendidos.
Os especialistas da Proofpoint esperam que o TA584 amplie a variedade de alvos e continue experimentando diferentes payloads em suas campanhas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...