Un acteur spécialisé dans la vente de l'accès initial au réseau, connu par les analystes comme TA584, a rehaussé le niveau de son activité et le fait en combinant de nouveaux outils qui augmentent le risque qu'une intrusion se retrouve dans une attaque ransomware. Cette campagne, documentée par les chercheurs de Proofpoint, présente une chaîne d'engagement soigneusement conçue pour éviter les détections statiques et convertir les comptes légitimes engagés en portes d'entrée à l'infrastructure de l'entreprise.
La pièce la plus frappante de ce puzzle est l'incorporation de Tsundere Bot, une plate-forme de malware comme un service qui fonctionne sur Node.js et qui a été décrite par Kaspersky L'année dernière. Tsundere n'agit pas seulement comme une porte arrière et un chargeur ; elle utilise également une technique non conventionnelle pour obtenir l'adresse de son serveur de contrôle : elle extrait des informations de la blockchain Etherium (une variation de ce que certains chercheurs ont appelé des techniques de « dissimulation » dans les chaînes de blocs). Cette souplesse et cette sophistication correspondent au rôle que joue TA584 dans l'écosystème de la cybercriminalité : fournir un accès précieux à d'autres groupes d'extorsion.
Selon le rapport de Proofpoint, l'opération actuelle fait partie de centaines d'anciens comptes déjà engagés qui sont utilisés pour envoyer des courriels malveillants par le biais de services d'expédition de masse légitimes, tels que SendGrid ou Amazon Simple Email Service. Ce qui suit n'est pas une simple pièce jointe ou un lien générique : chaque destinataire reçoit une URL unique et l'infrastructure filtre le trafic par emplacement géographique et IP; en outre, des chaînes de redirection sont utilisées qui passent souvent par des systèmes tiers de gestion du trafic (« TDS ») tels que Keitaro. L'objectif est que seules des victimes spécifiques atteignent la prochaine étape.
Si le visiteur passe les filtres, il trouve d'abord une CAPTCHA puis une page qui semble être un service de réparation (connu sous le nom ClickFix dans les analyses). Cette page vous exhorte à exécuter une commande PowerShell: en faisant cela, la machine télécharge et exécute un script osfusqué en mémoire qu'elle charge, sans laisser de fichiers évidents sur le disque, soit XWorm - un accès à distance connu Trojan - ou Tsundere Bot. Après l'exécution, le navigateur est redirigé vers un site sûr pour déguiser l'intrusion. Ce mode de fonctionnement réduit la surface que les outils de sécurité examinent et complique la détection par signature.
La trajectoire de TA584 n'est pas statique: Proofpoint a observé cet acteur en utilisant une grande variété de familles de logiciels malveillants au fil des ans, des infostealers comme Ursnif aux cadres post-exploitation comme Cobalt Strike. Le volume des campagnes signalées a augmenté d'ici la fin de 2025 au cours du premier trimestre, et la géographie des cibles s'est étendue au-delà de l'Amérique du Nord et du Royaume-Uni/Irlande, atteignant l'Allemagne, d'autres pays européens et l'Australie. Cette expansion suggère une intention claire de diversifier les marchés et de monétiser l'accès dans plusieurs régions.
Tsundere Bot, pour sa part, intègre des fonctionnalités qui le rendent particulièrement attrayant pour les opérateurs en quête de persévérance et d'exploration latérale : il recueille des informations système pour profiler les victimes potentielles, peut exécuter le code JavaScript arbitraire envoyé par son centre de commande, permet d'utiliser des machines engagées telles que les proxies SOCKS et a même un marché intérieur où les "bots" peuvent être achetés et vendus. En outre, l ' installateur comprend une autre adresse de contrôle codée comme sauvegarde au cas où la récupération de la chaîne de blocs échouerait et éviterait d ' être mise en œuvre dans des systèmes configurés dans des langues typiques de la Communauté d ' États indépendants, ce qui indique un effort délibéré pour cibler les opérateurs ou les victimes de la région de la CEI.
Tout cela explique pourquoi les chercheurs Proofpoint considèrent que les infections à Tsundere Bot, lorsqu'elles font partie des opérations TA584, ont un fort potentiel pour conduire à des incidents de ransomware. Dans la pratique, la première vente d'accès facilite la location ou l'achat d'entrées déjà authentifiées par d'autres groupes plus spécialisés, appelés opérateurs de Ransomware, et ne doit déployer leur charge de chiffrement ou d'exfiltration que pour maximiser les dommages.
Pour les organisations de sécurité et les professionnels, la leçon est double : il ne suffit pas de s'appuyer sur la validation de l'expéditeur ou des contrôles de base du courrier ; il est également nécessaire de surveiller des modèles plus subtils, comme l'utilisation de fournisseurs d'expédition légitimes, des URL uniques par destinataire, des chaînes de redirection et des charges qui sont exécutées exclusivement en mémoire. Les guides de bonnes pratiques pour ransomware et l'accès initial recommandent de renforcer l'authentification, de séparer les privilèges, de surveiller les processus en mémoire et d'éduquer les employés à ne pas exécuter des commandes qui leur demandent des pages Web peu fiables. Les ressources officielles telles que l'agence américaine CISA collectent des mesures et des recommandations qui peuvent aider à durcir les défenses : CISA - Renseignements sur les ransomwares.
Dans un écosystème où les fournisseurs d'accès et les plates-formes de logiciels malveillants sont professionnalisés, la prévention exige de combiner les politiques, la technologie et la formation. L'innovation offensive ne s'arrête pas et les défenseurs ne peuvent pas non plus le faire.: surveiller les chaînes d'engagement, mettre à jour les règles pour détecter les techniques de vie hors de la terre (comme l'abus de PowerShell) et analyser les comportements de mémoire sont des mesures qui font aujourd'hui la différence entre une tentative frustrée et une intrusion rentable pour les attaquants.
Si vous souhaitez approfondir les résultats techniques et les exemples de la chaîne d'attaque, le rapport Proofpoint est une lecture détaillée et recommandée pour son point de vue sur TA584 et les tactiques observées: Point d'épreuve - Analyse TA584. Pour comprendre la composante technique de Tsundere Bot et son utilisation de la blockchain comme vecteur de résilience, le rapport Kaspersky fournit un contexte précieux: Kaspersky - Tsundere Bot.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...