Um ator especializado em vender acesso inicial a redes, conhecido pelos analistas como TA584, voltou a subir o nível de sua atividade e o faz combinando ferramentas inovadoras que aumentam o risco de uma intrusão acabar em um ataque de ransomware. Essa campanha, documentada por pesquisadores de Proofpoint, exibe uma cadeia de compromisso cuidadosamente projetada para evitar deteções estáticas e converter contas legítimas comprometidas em portas de entrada para infraestruturas corporativas.
A peça mais chamativa neste quebra-cabeça é a incorporação de Tsundere Bot, uma plataforma de malware como serviço que opera sobre Node.js e que foi descrita por Kaspersky No ano passado. Tsundere não atua apenas como porta traseira e carregador; também recorre a uma técnica pouco convencional para obter a direção de seu servidor de controle: extrai informações da blockchain do Ethereum (uma variação do que alguns pesquisadores denominaram técnicas de "ocultação" em cadeias de blocos). Essa flexibilidade e sofisticação encaixa com o papel que TA584 desempenha no ecossistema do cibercrime: fornecer acessos valiosos que outros grupos de extorsão podem usar.
De acordo com o relatório Proofpoint, a operação atual parte de centenas de contas antigas já comprometidas que são usadas para enviar e-mails maliciosos através de serviços legítimos de envio em massa, como SendGrid ou Amazon Simple Email Service. O que ainda não é um simples anexo ou um link genérico: cada destinatário recebe um URL único e a infraestrutura filtra o tráfego por localização geográfica e IP; além disso, são usadas cadeias de redireccionamento que muitas vezes passam por sistemas de endereço de tráfego de terceiros ("TDS") como Keitaro. O objectivo é que apenas vítimas concretas cheguem ao próximo passo.
Se o visitante passar os filtros, encontra-se primeiro com um CAPTCHA e depois com uma página que aparenta ser um serviço de reparação (conhecido como ClickFix nas análises). Essa página insta a executar um comando do PowerShell: ao fazê-lo, a máquina descarregada e executa um programa ofuscado em memória que carrega, sem deixar arquivos evidentes em disco, seja XWorm - um troiano de acesso remoto conhecido - ou Tsundere Bot. Após a execução, o navegador se redirecione para um site inocuo para dissimular a intrusão. Este modo de funcionamento reduz a superfície que as ferramentas de segurança revisam e complica a detecção baseada em assinaturas.
A trajetória de TA584 não é estática: Proofpoint observou este ator usando uma ampla variedade de famílias de malware ao longo dos anos, desde infostealers como Ursnif até frameworks de pós-explotação como Cobalt Strike. O volume de campanhas relatadas aumentou para o final de 2025 em relação ao primeiro trimestre, e a geografia dos objetivos foi ampliada para além da América do Norte e Reino Unido/Irlanda, atingindo a Alemanha, outros países europeus e Austrália. Essa expansão sugere uma intenção clara de diversificar mercados e monetizar o acesso em várias regiões.
Tsundere Bot, por seu lado, incorpora funcionalidades que o tornam especialmente atraente para operadores que procuram persistência e exploração lateral: coleta informações do sistema para perfilar possíveis vítimas, pode executar código JavaScript arbitrário enviado pelo seu centro de comando, permite usar máquinas comprometidas como proxies SOCKS e até dispor de um mercado interno onde os "bots" podem ser comprados e vendidos. Além disso, o instalador inclui um endereço de controlo alternativo codificado como apoio no caso de a recuperação da cadeia de blocos falhar e evitar a execução em sistemas configurados com línguas típicas da Comunidade de Estados Independentes, o que aponta para um esforço deliberado por sortear operadores ou vítimas da região CIS.
Tudo isso explica por que os pesquisadores de Proofpoint consideram que as infecções por Tsundere Bot, quando fazem parte das operações de TA584, têm um alto potencial para provocar incidentes de ransomware. Na prática, a venda de acesso inicial facilita que outros grupos mais especializados – os chamados operadores de ransomware – alquilen ou comprem entrada já autenticada e só tenham que colocar sua carga de criptografia ou exfiltração para maximizar o dano.
Para as organizações e profissionais de segurança, a lição é dupla: não basta confiar na validação de remetentes ou em controles básicos de e-mail; também há que monitorar padrões mais sutis, como o uso de fornecedores legítimos de envio, URLs únicos por destinatário, cadeias de redireccionamento e cargas que são executados exclusivamente em memória. Os guias de boas práticas para ransomware e acesso inicial recomendam reforçar a autenticação, segregar privilégios, monitorar processos em memória e educar funcionários para não executar comandos que lhes peçam páginas web não confiáveis. Recursos oficiais como a agência americana CISA coletam medidas e recomendações que podem ajudar a endurecer defesas: CISA — Informações sobre ransomware.
Em um ecossistema onde os vendedores de acessos e as plataformas de malware como serviço se profissionalizam, a prevenção requer combinar políticas, tecnologia e formação. A inovação ofensiva não pára e os defensores também não podem fazê-lo: monitorar as cadeias de compromisso, atualizar regras para detectar técnicas de living-off-the-land (como abuso de PowerShell) e analisar comportamentos em memória são medidas que hoje marcam a diferença entre uma tentativa frustrada e uma intrusão rentável para os atacantes.
Se você quer aprofundar os achados técnicos e exemplos da cadeia de ataque, o relatório de Proofpoint é uma leitura detalhada e recomendada pela sua visão sobre TA584 e as táticas observadas: Proofpoint — análise do TA584. Para compreender o componente técnico de Tsundere Bot e seu uso da blockchain como vetor de resiliência, o relatório da Kaspersky oferece contexto valioso: Kaspersky — Tsundere Bot.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...