Le groupe TA584 redouble d’activité et élargit ses cibles et ses techniques. Avec Tsundere Bot et ClickFix, il impose une pression constante sur les défenses informatiques.
TA584 n’est pas un acteur comme les autres. Suivi de près par Proofpoint, ce groupe cybercriminel multiplie les campagnes à un rythme effréné, avec une agilité déconcertante. En 2025, ses offensives ont triplé en volume et s’étendent de l’Amérique du Nord à l’Europe. Il intègre de nouveaux outils comme Tsundere Bot et une technique d’ingénierie sociale redoutable : ClickFix. Les chercheurs soulignent une mutation permanente qui rendent obsolètes les dispositifs de détection statiques.
Une cadence infernale et des leurres ultra-ciblés
En coulisses, TA584 orchestre une succession rapide d’attaques aux contours sans cesse renouvelés. Chaque campagne dure parfois moins de 48 heures. L’acteur joue sur la localisation fine de ses appâts. Il mime des entités connues comme PayPal ou des hôpitaux pour s’adapter à chaque zone géographique. L’Europe, notamment l’Allemagne, est devenue une cible régulière au fil de l’année. Cette capacité à ajuster thèmes, marques et langues déjoue nombre de systèmes de filtrage automatisés. Il garde un fil rouge social engineering.
ClickFix : l’art de manipuler les utilisateurs eux-mêmes
Depuis l’été 2025, TA584 généralise l’usage de ClickFix, une méthode qui consiste à pousser la victime à copier-coller une commande PowerShell, via un faux message d’erreur. Cette démarche détourne la vigilance et rend l’attaque plus difficile à détecter, car déclenchée manuellement. Le code exécute ensuite un script distant, installe Node.js et lance une charge malveillante. En même temps, il masque son activité à l’aide de processus légitimes. Le tout dans un enchaînement fluide, invisible pour l’utilisateur.
Tsundere Bot : une backdoor nouvelle génération
Fin 2025, Proofpoint observe l’apparition d’un nouvel outil dans l’arsenal de TA584 : Tsundere Bot. Ce malware « as-a-service » récupère ses serveurs de commande via la blockchain Ethereum, une méthode qui complique son blocage. Il est capable d’exfiltrer des données, de maintenir une présence persistante sur les machines infectées, et surtout, de servir de tremplin pour des attaques par rançongiciel.
L’implantation se fait via des scripts chiffrés, puis le bot établit un canal de communication discret avec ses maîtres. « TA584 se distingue par sa capacité à expérimenter rapidement de nouvelles techniques et à les déployer à l’échelle mondiale », notent les chercheurs de Proofpoint.
Article basé sur un communiqué de presse reçu par la rédaction.
