Un actor especializado en vender acceso inicial a redes, conocido por los analistas como TA584, ha vuelto a subir el nivel de su actividad y lo hace combinando herramientas novedosas que aumentan el riesgo de que una intrusión acabe en un ataque de ransomware. Esta campaña, documentada por investigadores de Proofpoint, exhibe una cadena de compromiso cuidadosamente diseñada para evitar detecciones estáticas y convertir cuentas legítimas comprometidas en puertas de entrada a infraestructuras corporativas.
La pieza más llamativa en este rompecabezas es la incorporación de Tsundere Bot, una plataforma de malware como servicio que opera sobre Node.js y que fue descrita por Kaspersky el año pasado. Tsundere no solo actúa como puerta trasera y cargador; también recurre a una técnica poco convencional para obtener la dirección de su servidor de control: extrae información de la blockchain de Ethereum (una variación de lo que algunos investigadores denominaron técnicas de "ocultación" en cadenas de bloques). Esa flexibilidad y sofisticación encaja con el papel que TA584 desempeña en el ecosistema del cibercrimen: proporcionar accesos valiosos que otros grupos de extorsión pueden usar.
Según el informe de Proofpoint, la operación actual parte de cientos de cuentas antiguas ya comprometidas que se usan para enviar correos maliciosos a través de servicios legítimos de envío masivo, como SendGrid o Amazon Simple Email Service. Lo que sigue no es un simple adjunto o un enlace genérico: cada destinatario recibe una URL única y la infraestructura filtra el tráfico por ubicación geográfica e IP; además, se emplean cadenas de redirección que a menudo pasan por sistemas de dirección de tráfico de terceros ("TDS") como Keitaro. El objetivo es que solo víctimas concretas lleguen al siguiente paso.
Si el visitante pasa los filtros, se encuentra primero con un CAPTCHA y luego con una página que aparenta ser un servicio de reparación (conocida como ClickFix en los análisis). Esa página insta a ejecutar un comando de PowerShell: al hacerlo, la máquina descarga y ejecuta un script ofuscado en memoria que carga, sin dejar archivos evidentes en disco, ya sea XWorm —un troyano de acceso remoto conocido— o Tsundere Bot. Tras la ejecución, el navegador se redirige a un sitio inocuo para disimular la intrusión. Este modo de operar reduce la superficie que las herramientas de seguridad revisan y complica la detección basada en firmas.
La trayectoria de TA584 no es estática: Proofpoint ha observado a este actor usando una amplia variedad de familias de malware a lo largo de los años, desde infostealers como Ursnif hasta frameworks de post-explotación como Cobalt Strike. El volumen de campañas reportadas se multiplicó hacia finales de 2025 respecto al primer trimestre, y la geografía de los objetivos se amplió más allá de Norteamérica y Reino Unido/Irlanda, alcanzando Alemania, otros países europeos y Australia. Esa expansión sugiere una intención clara de diversificar mercados y monetizar el acceso en múltiples regiones.
Tsundere Bot, por su parte, incorpora funcionalidades que lo hacen especialmente atractivo para operadores que buscan persistencia y exploración lateral: recopila información del sistema para perfilar posibles víctimas, puede ejecutar código JavaScript arbitrario enviado por su centro de mando, permite usar máquinas comprometidas como proxies SOCKS y hasta dispone de un mercado interno donde los "bots" se pueden comprar y vender. Además, el instalador incluye una dirección de control alterna codificada como respaldo en caso de que la recuperación desde la cadena de bloques falle y evita ejecutarse en sistemas configurados con idiomas típicos de la Comunidad de Estados Independientes, lo que apunta a un esfuerzo deliberado por sortear a operadores o víctimas de la región CIS.
Todo esto explica por qué los investigadores de Proofpoint consideran que las infecciones por Tsundere Bot, cuando forman parte de las operaciones de TA584, tienen un alto potencial para desembocar en incidentes de ransomware. En la práctica, la venta de acceso inicial facilita que otros grupos más especializados —los llamados operadores de ransomware— alquilen o compren entrada ya autenticada y solo tengan que desplegar su carga de cifrado o exfiltración para maximizar el daño.
Para las organizaciones y profesionales de la seguridad, la lección es doble: no basta con confiar en la validación de remitentes o en controles básicos de correo; también hay que vigilar patrones más sutiles, como el uso de proveedores legítimos de envío, URLs únicas por destinatario, cadenas de redirección y cargas que se ejecutan exclusivamente en memoria. Las guías de buenas prácticas ante ransomware y acceso inicial recomiendan reforzar la autentificación, segregar privilegios, monitorizar procesos en memoria y educar a empleados para no ejecutar comandos que les pidan páginas web no confiables. Recursos oficiales como la agencia estadounidense CISA recopilan medidas y recomendaciones que pueden ayudar a endurecer defensas: CISA — Información sobre ransomware.
En un ecosistema donde los vendedores de accesos y las plataformas de malware como servicio se profesionalizan, la prevención requiere combinar políticas, tecnología y formación. La innovación ofensiva no se detiene y los defensores tampoco pueden hacerlo: monitorizar las cadenas de compromiso, actualizar reglas para detectar técnicas de living-off-the-land (como abuso de PowerShell) y analizar comportamientos en memoria son medidas que hoy marcan la diferencia entre un intento frustrado y una intrusión rentable para los atacantes.
Si quieres profundizar en los hallazgos técnicos y ejemplos de la cadena de ataque, el informe de Proofpoint es una lectura detallada y recomendada por su visión sobre TA584 y las tácticas observadas: Proofpoint — análisis sobre TA584. Para comprender el componente técnico de Tsundere Bot y su uso de la blockchain como vector de resiliencia, el reporte de Kaspersky aporta contexto valioso: Kaspersky — Tsundere Bot.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...