Source et contexte: Proofpoint (Threat Insight) publie une analyse détaillée de l’activité 2025 de TA584, un broker d’accès initial (IAB) très actif, montrant une forte hausse du rythme opérationnel, des chaînes d’attaque en constante évolution et la livraison d’un nouveau malware, Tsundere Bot. Le groupe présente un chevauchement avec Storm-0900.

• Activité et cadence: En 2025, TA584 a triplé ses campagnes mensuelles (mars → décembre), privilégiant des opérations courtes et à fort turnover (heures à jours), avec des thèmes, marques et pages d’atterrissage fréquemment renouvelés. Cette variabilité soutenue vise à contourner les détections statiques et illustre une adaptation continue face à la pression défensive.

• Ingénierie sociale 🐟: Le groupe usurpe de nombreuses organisations (recrutement: Michael Page, Adecco; services: BBB, Companies House; marques: PayPal, OSHA, Medicare, OneDrive, YourCostSolutions), avec une prévalence santé puis secteur public. Les lures sont localisés par géographie, conservent urgence et légitimité (documents, transactions, obligations), et peuvent intégrer des techniques rares, comme la photo de courrier physique personnalisée contenant nom/adresse du destinataire (déc. 2025). Thèmes récurrents: recouvrement de dette/paiement, invitations, fiscalité, résultats médicaux, avantages santé, amendes, recrutement, plaintes commerciales.

• Chaîne d’attaque et livraison: Les emails proviennent surtout de comptes compromis (multiples display names, centaines d’expéditeurs légitimes et âgés par vague), parfois via ESPs compromis (SendGrid, Amazon SES) après prise de contrôle et authentification DNS. Les liens uniques par cible appliquent géorestriction et filtrage IP. De 2021 à juillet 2025: pages d’atterrissage avec compte à rebours + CAPTCHA, menant à des archives JS ou LNK, et plus tôt à des XLSM (EtterSilent) installant notamment Ursnif. Depuis fin juillet 2025: adoption de ClickFix (CAPTCHA « Slide » → instructions incitant l’utilisateur à copier-coller et exécuter une commande PowerShell qui télécharge un script PowerShell intermédiaire obfusqué, puis exécute le payload). Le script initial n’est servi que si la même IP a visité la page; un callback vérifie l’accès au payload puis redirige vers un site bénin (ex. docusign[.]com).

• Infrastructure et redirections: TA584 emploie des chaînes de redirection multi-couches et des services tiers criminels pour masquer la destination finale, avec URLs non réutilisées et chemins identifiant la campagne (ex. /bbb/). Fin 2025, préférence pour des URLs AWS S3 (dans l’email ou la chaîne), usage aussi d’URLs Blogspot. Côté TDS: bascule fréquente, 404 TDS principalement en 2025, parfois Keitaro TDS, et auparavant Cookie Reloaded (Prometheus TDS). Les domaines contrôlés par l’acteur tournent hebdomadairement; l’hébergement final peut rester statique longtemps (ex. 94.159.113.37, AS216234 Komskov Vadim Aleksandrovich, depuis avril 2025). Les bacs à sable publics capturent rarement la chaîne complète.

• Ciblage: Campagnes visant des centaines d’organisations, de quelques milliers jusqu’à ~200 000 emails par campagne. Historiquement centrées sur Amérique du Nord, Royaume‑Uni, Irlande, avec extension régulière à l’Allemagne dès fin juillet 2025 (volume accru), et ciblage limité de l’Australie. Le ciblage est opportuniste (pas de verticales privilégiées), avec quelques campagnes par semaine et des pauses observées. Article de type analyse de menace visant à documenter l’évolution des TTPs et de l’infrastructure de TA584.

Indicators of Compromise (IOCs):

  • IP d’hébergement final récurrente: 94.159.113.37 (AS216234 Komskov Vadim Aleksandrovich)

Tactiques, Techniques et Procédures (TTPs) 🧩:

  • Accès initial par email: comptes expéditeurs compromis; abus d’ESPs (SendGrid, Amazon SES) via identifiants volés et authentification DNS.
  • Lures variés, localisés et courts; usurpation de marques (santé, secteur public), urgence systématique; photo de courrier physique personnalisée (déc. 2025).
  • Liens uniques par cible avec géofencing et filtrage IP; redirections en chaîne via TDS (404 TDS, Keitaro, Cookie Reloaded/Prometheus); URLs AWS S3 et Blogspot dans les chaînes.
  • Pages d’atterrissage: compte à rebours (2021–mi‑2025), CAPTCHA/« Slide »; ClickFix (copier‑coller PowerShell) depuis fin juillet 2025; script initial servi à la même IP; callback + redirection bénigne après accès au payload.
  • Payloads: archives JS/LNK, XLSM (EtterSilent); malwares observés: Ursnif (historique), Tsundere Bot (nouveau).

🧠 TTPs et IOCs détectés

TTP

[‘T1566.001 - Spearphishing Attachment’, ‘T1566.002 - Spearphishing Link’, ‘T1071.001 - Application Layer Protocol: Web Protocols’, ‘T1071.003 - Application Layer Protocol: Mail Protocols’, ‘T1204.001 - User Execution: Malicious Link’, ‘T1204.002 - User Execution: Malicious File’, ‘T1190 - Exploit Public-Facing Application’, ‘T1588.006 - Obtain Capabilities: Vulnerabilities’, ‘T1583.001 - Acquire Infrastructure: Domains’, ‘T1583.003 - Acquire Infrastructure: Virtual Private Server’, ‘T1583.004 - Acquire Infrastructure: Server’, ‘T1584.001 - Compromise Infrastructure: Domains’, ‘T1584.002 - Compromise Infrastructure: DNS’, ‘T1584.003 - Compromise Infrastructure: Virtual Private Server’, ‘T1584.004 - Compromise Infrastructure: Server’, ‘T1078.003 - Valid Accounts: Local Accounts’, ‘T1078.004 - Valid Accounts: Cloud Accounts’, ‘T1102.001 - Web Service: Dead Drop Resolver’, ‘T1102.002 - Web Service: Bidirectional Communication’, ‘T1102.003 - Web Service: One-Way Communication’, ‘T1568.002 - Dynamic Resolution: Domain Generation Algorithms’, ‘T1568.003 - Dynamic Resolution: Fast Flux DNS’, ‘T1573.001 - Encrypted Channel: Symmetric Cryptography’, ‘T1573.002 - Encrypted Channel: Asymmetric Cryptography’, ‘T1027 - Obfuscated Files or Information’, ‘T1027.005 - Indicator Removal on Host: Network Traffic’, ‘T1562.001 - Impair Defenses: Disable or Modify Tools’, ‘T1562.002 - Impair Defenses: Disable Windows Event Logging’, ‘T1562.003 - Impair Defenses: HISTCONTROL’, ‘T1562.004 - Impair Defenses: Disable or Modify System Firewall’, ‘T1562.005 - Impair Defenses: Disable or Modify System Proxy’, ‘T1562.006 - Impair Defenses: Indicator Blocking’, ‘T1562.007 - Impair Defenses: Indicator Removal from Tools’, ‘T1562.008 - Impair Defenses: Indicator Removal on Host’, ‘T1562.009 - Impair Defenses: Safe Mode Boot’, ‘T1562.010 - Impair Defenses: Disable or Modify Cloud Firewall’, ‘T1562.011 - Impair Defenses: Disable or Modify Cloud Proxy’, ‘T1562.012 - Impair Defenses: Indicator Blocking on Host’, ‘T1562.013 - Impair Defenses: Indicator Removal from Host’, ‘T1562.014 - Impair Defenses: Safe Mode Boot on Host’]

IOC

[‘94.159.113.37’]

🔗 Source originale : https://www.proofpoint.com/us/blog/threat-insight/cant-stop-wont-stop-ta584-innovates-initial-access