TA584 : la menace cyber qui évolue sans cesse

Le groupe TA584 redouble d’activité et élargit ses cibles et ses techniques. Avec Tsundere Bot et ClickFix, il impose une pression constante sur les défenses informatiques.

TA584 n’est pas un acteur comme les autres. Suivi de près par Proofpoint, ce groupe cybercriminel multiplie les campagnes à un rythme effréné, avec une agilité déconcertante. En 2025, ses offensives ont triplé en volume et s’étendent de l’Amérique du Nord à l’Europe. Il intègre de nouveaux outils comme Tsundere Bot et une technique d’ingénierie sociale redoutable : ClickFix. Les chercheurs soulignent une mutation permanente qui rendent obsolètes les dispositifs de détection statiques.

Une cadence infernale et des leurres ultra-ciblés

En coulisses, TA584 orchestre une succession rapide d’attaques aux contours sans cesse renouvelés. Chaque campagne dure parfois moins de 48 heures. L’acteur joue sur la localisation fine de ses appâts. Il mime des entités connues comme PayPal ou des hôpitaux pour s’adapter à chaque zone géographique. L’Europe, notamment l’Allemagne, est devenue une cible régulière au fil de l’année. Cette capacité à ajuster thèmes, marques et langues déjoue nombre de systèmes de filtrage automatisés. Il garde un fil rouge social engineering.

TA584 : la menace cyber qui évolue sans cesse

ClickFix : l’art de manipuler les utilisateurs eux-mêmes

Depuis l’été 2025, TA584 généralise l’usage de ClickFix, une méthode qui consiste à pousser la victime à copier-coller une commande PowerShell, via un faux message d’erreur. Cette démarche détourne la vigilance et rend l’attaque plus difficile à détecter, car déclenchée manuellement. Le code exécute ensuite un script distant, installe Node.js et lance une charge malveillante. En même temps, il masque son activité à l’aide de processus légitimes. Le tout dans un enchaînement fluide, invisible pour l’utilisateur.

TA584 : la menace cyber qui évolue sans cesse

Tsundere Bot : une backdoor nouvelle génération

Fin 2025, Proofpoint observe l’apparition d’un nouvel outil dans l’arsenal de TA584 : Tsundere Bot. Ce malware « as-a-service » récupère ses serveurs de commande via la blockchain Ethereum, une méthode qui complique son blocage. Il est capable d’exfiltrer des données, de maintenir une présence persistante sur les machines infectées, et surtout, de servir de tremplin pour des attaques par rançongiciel.

L’implantation se fait via des scripts chiffrés, puis le bot établit un canal de communication discret avec ses maîtres. « TA584 se distingue par sa capacité à expérimenter rapidement de nouvelles techniques et à les déployer à l’échelle mondiale », notent les chercheurs de Proofpoint.

Article basé sur un communiqué de presse reçu par la rédaction.

ARTICLES SIMILAIRES

Jeux d’argent en ligne : la fraude explose selon Sumsub

Le nouveau baromètre de Sumsub met en lumière une forte progression de la fraude dans

14 juillet 2026

Qu’est-ce qu’une porte dérobée et quelles sont ses implications ?

La porte dérobée est un mécanisme occulte délibérément introduit dans un système informatique pour contourner

11 juillet 2026

Deepfakes vocaux : les nouvelles armes des fraudeurs

Les voix clonées par intelligence artificielle ne relèvent plus de la science-fiction. Faciles à produire

9 juillet 2026

PamStealer exploite de faux sites Maccy et des contrôles PAM

Le malware PamStealer touche désormais les Mac Apple Silicon. Ce logiciel malveillant use de fausses

3 juillet 2026

Un braquage crypto alimenté par une campagne de renforcement de réputation

Un nouveau type de braquage crypto fait surface, mis en œuvre via une campagne sophistiquée.

22 juin 2026

Coupe du Monde : les pièges numériques à éviter !

La Coupe du Monde 2026 attire les supporters du monde entier, mais aussi les cybercriminels.

18 juin 2026