Broker akses awal produktif yang dilacak sebagai TA584 telah diamati menggunakan Bot Tsundere bersama trojan akses jarak jauh XWorm untuk mendapatkan akses jaringan yang dapat menyebabkan serangan ransomware.
Peneliti Proofpoint telah melacak aktivitas TA584 sejak tahun 2020 dan mengatakan bahwa pelaku ancaman telah meningkatkan operasinya secara signifikan baru-baru ini, memperkenalkan rantai serangan berkelanjutan yang melemahkan deteksi statis.
Bot Tsundere dulu pertama kali didokumentasikan oleh Kaspersky tahun lalu dan dikaitkan dengan operator berbahasa Rusia yang memiliki tautan ke malware 123 Stealer.
Meskipun tujuan dan metode infeksinya masih belum jelas pada saat itu, Proofpoint mengatakan bahwa “malware dapat digunakan untuk pengumpulan informasi, penyelundupan data, pergerakan lateral, dan untuk memasang muatan tambahan.”
“Mengingat Proofpoint telah mengamati malware ini digunakan oleh TA584, para peneliti menilai dengan keyakinan tinggi bahwa infeksi malware Tsundere Bot dapat menyebabkan ransomware,” catatan peneliti.
Aktivitas TA584 pada akhir tahun 2025 meningkat tiga kali lipat volumenya dibandingkan Q1 pada tahun yang sama dan meluas melampaui cakupan penargetan standar di Amerika Utara dan Inggris/Irlandia hingga mencakup Jerman, berbagai negara Eropa, dan Australia.
Sumber: Proofpoint
Rantai serangan yang lazim saat ini dimulai dengan email yang dikirim dari ratusan akun lama yang disusupi, dikirim melalui SendGrid dan Amazon Simple Email Service (SES).
Email tersebut menyertakan URL unik untuk setiap target, pembatasan wilayah dan pemfilteran IP, serta mekanisme rantai pengalihan yang sering kali melibatkan sistem arah lalu lintas (TDS) pihak ketiga seperti Keitaro.
Mereka yang lolos filter akan diarahkan ke halaman CAPTCHA, diikuti oleh halaman ClickFix yang menginstruksikan target untuk menjalankan perintah PowerShell di sistem mereka.
Sumber: Proofpoint
Perintah tersebut mengambil dan mengeksekusi skrip yang dikaburkan, memuat XWorm atau Tsundere Bot ke dalam memori, dan mengarahkan ulang browser ke situs yang tidak berbahaya untuk penipuan.
Sumber: Proofpoint
Proofpoint mengatakan TA584 telah menggunakan sejumlah besar muatan selama bertahun-tahun, termasuk Ursnif, LDR4, WarmCookie, Xeno RAT, Cobalt Strike, dan DCRAT, yang masih terlihat dalam satu kasus pada tahun 2025.
Tsundere Bot adalah platform malware-as-a-service dengan kemampuan pintu belakang dan pemuat. Hal ini memerlukan Node.js untuk beroperasi, yang ditambahkan malware ke sistem korban menggunakan penginstal yang dihasilkan dari panel perintah dan kontrolnya.
Malware mengambil alamat perintah dan kontrol (C2) dari blockchain Ethereum menggunakan varian dari Teknik Menyembunyikan Etherdengan alamat cadangan hardcode yang juga disertakan dalam penginstal.
Ia berkomunikasi dengan server C2 melalui WebSockets dan menyertakan logika untuk memeriksa lokal sistem, membatalkan eksekusi jika sistem menggunakan bahasa negara Persemakmuran Negara-Negara Merdeka (CIS) (terutama bahasa Rusia).
Tsundere Bot mengumpulkan informasi sistem untuk membuat profil mesin yang terinfeksi, dapat mengeksekusi kode JavaScript arbitrer yang diterima dari C2, dan mendukung penggunaan host yang terinfeksi sebagai proxy SOCKS. Platform malware ini juga dilengkapi pasar bawaan tempat bot dapat dijual dan dibeli.
Para peneliti memperkirakan TA584 akan mencoba menargetkan target yang lebih luas dan percaya bahwa pelaku ancaman akan terus bereksperimen dengan berbagai muatan.
Lembar Cheat Keamanan Rahasia: Dari Sprawl hingga Control
Baik Anda membersihkan kunci lama atau menyetel pagar pembatas untuk kode yang dihasilkan AI, panduan ini membantu tim Anda membangun dengan aman sejak awal.
Dapatkan lembar contekan dan hilangkan dugaan tentang manajemen rahasia.
