Los ataques de acceso inicial se triplican en un año

El grupo de ciberdelincuencia TA584 profesionaliza sus ataques en Europa mediante técnicas de ingeniería social y malware avanzado

TA584 opera con campañas de correo electrónico de alta rotación. Portal ERP España.

Proofpoint ha presentado una investigación detallada sobre la evolución del grupo TA584, un intermediario de acceso inicial cuyas infecciones suelen derivar en ataques de ransomware y robo de datos. Durante el año 2025, esta organización triplicó el volumen de sus campañas, mostrando una sofisticación técnica creciente y una expansión de sus objetivos geográficos, con un enfoque persistente en mercados de Europa y Norteamérica.

Ante este incremento de la actividad, los expertos advierten sobre la dificultad de mitigar estas amenazas con métodos tradicionales. Selena Larson, analista sénior en inteligencia sobre amenazas de Proofpoint, explica que las campañas únicas de este grupo provocan que las detecciones estáticas y la dependencia de indicadores de compromiso (IoC) “no sean defensas efectivas”. Según la experta, comprender el comportamiento de estos actores es vital para que las organizaciones puedan anticiparse a un panorama cambiante, señalando además que “los atacantes aprenden unos de otros, por lo que es posible que la actividad de alto volumen, altamente personalizada y en constante evolución de este grupo sea adoptada por otros en el futuro”.

La investigación destaca que el comportamiento reciente de TA584 se caracteriza por una alta rotación de campañas de correo electrónico y ciclos de vida operativos cortos. El grupo utiliza ahora señuelos y marcas localizadas para aumentar la efectividad de sus acciones, adaptándose a idiomas específicos para engañar a las víctimas en geografías concretas.

Te puede interesar: La identidad digital: el frente donde se decide la seguridad ante la IA

Una de las principales novedades detectadas es la adopción de la técnica de ingeniería social denominada ClickFix. Este método consiste en presentar al usuario cuadros de diálogo con mensajes de error falsos que instan a la víctima a copiar, pegar y ejecutar comandos de PowerShell en su propio equipo. Estas acciones activan scripts remotos con código ofuscado que finalmente ejecutan la descarga del malware en el sistema del usuario.

Asimismo, los analistas han identificado la distribución de una nueva cepa de malware conocida como Tsundere Bot. Se trata de una puerta trasera de "malware-as-a-service" que utiliza tecnología blockchain para el descubrimiento de sus centros de mando y control (C2) y facilita actividades posteriores de ransomware. Esta carga útil se ha sumado a otras herramientas ya establecidas en el arsenal del grupo, como es el caso de XWorm.

Pese a que muchos grupos de cibercrimen han abandonado el correo electrónico como vector principal en el último año, este actor de amenazas ha mantenido patrones consistentes desde 2020. No obstante, la actividad reciente indica que los atacantes están tratando de infectar a un espectro de objetivos mucho más amplio, con una alta probabilidad de que centren sus esfuerzos de experimentación en el mercado europeo.

Para hacer frente a estas tácticas, los expertos en seguridad recomiendan a las organizaciones implementar medidas preventivas robustas. Entre las acciones sugeridas se encuentra la restricción de ejecución de PowerShell para aquellos usuarios que no lo requieran para sus funciones laborales, así como el bloqueo activo de los hosts conocidos que se asocian a las operaciones de estos ciberdelincuentes.