文章总结： TA584初始访问中间商利用TsundereBot与XWorm木马入侵网络，为勒索攻击铺路。该组织自2020年被追踪，2025年末攻击量增长两倍，扩展至德国、澳大利亚等地。攻击链通过劫持邮箱发送钓鱼邮件，利用CAPTCHA和ClickFix诱导执行PowerShell命令加载恶意软件。TsundereBot为Node.js后门，采用以太坊区块链获取C2地址，具备系统信息收集、代码执行和SOCKS代理功能。 综合评分： 78 文章分类： 威胁情报,恶意软件,勒索软件,漏洞分析,网络安全

【安全圈】初始访问黑客借 Tsundere Bot 入侵网络，或为勒索攻击铺路

安全圈

2026年2月9日 19:02 江苏

关键词

勒索软件

代号为 TA584 的高活跃度初始访问中间商近期被发现，正利用 Tsundere Bot 与 XWorm 远程访问木马获取目标网络访问权限，为后续勒索软件攻击创造条件。

自 2020 年以来，Proofpoint 研究人员便持续追踪 TA584 的活动。他们指出，该威胁组织近期大幅扩大攻击规模，并构建了一套可规避静态检测的持续性攻击链。

Tsundere Bot 恶意软件于去年首次由卡巴斯基公开披露，研究人员将其归属至一个与 123 Stealer 窃密木马相关联的俄语系攻击组织。尽管该恶意软件最初的攻击目的与传播途径尚不明确，但 Proofpoint 表示，其可用于信息收集、数据窃取、横向移动以及部署额外恶意载荷。

鉴于研究人员已观测到 TA584 在攻击中使用该恶意软件，所以研究团队高度确信，遭受 Tsundere Bot 感染的主机极有可能成为后续勒索软件攻击的目标。

2025 年末，TA584 的攻击活动总量较同年第一季度增长两倍，攻击范围也从传统的北美、英国及爱尔兰地区，进一步扩展至德国、欧洲多国及澳大利亚。

TA584 活动的数量

该组织当前主流攻击链流程如下：首先利用数百个遭劫持的老旧邮箱账户，通过 SendGrid 与亚马逊简易邮件服务（SES）发送钓鱼邮件；邮件包含针对不同目标的专属链接，并设置地理围栏与 IP 过滤机制，跳转链路中通常会引入 Keitaro 等第三方流量分发系统（TDS）。

通过过滤机制的用户会进入人机验证（CAPTCHA）页面，随后跳转至 ClickFix 页面，页面会诱导用户在本地执行一条 PowerShell 命令。

CAPTCHA ( 左 ) 和 ClickFix ( 右 ) 页面

该命令会下载并执行一段经过混淆处理的脚本，将 XWorm 或 Tsundere Bot 加载至内存中，同时将浏览器重定向至正常网站以掩盖恶意行为。

PowerShell 脚本

Proofpoint 表示，多年来 TA584 在攻击中使用过大量恶意载荷，包括 Ursnif、LDR4、WarmCookie、Xeno RAT、Cobalt Strike 以及 DCRAT，其中 DCRAT 在 2025 年的一起攻击事件中仍被使用。

Tsundere Bot 是一款具备后门与加载器功能的恶意软件即服务（MaaS）平台，运行依赖 Node.js 环境，该环境会通过其命令与控制（C2）面板生成的安装程序自动部署到受害者设备中。

该恶意软件采用改进版 EtherHiding 技术，从以太坊区块链中获取 C2 服务器地址，安装程序中同时内置硬编码备用地址，以防主地址失效。

恶意软件通过 WebSocket 协议与 C2 服务器通信，并内置系统区域检测逻辑：若检测到设备使用独立国家联合体（CIS）成员国语言（以俄语为主），则立即终止运行。

此外，Tsundere Bot 会收集系统信息以构建受感染主机画像，可执行从 C2 服务器下发的任意 JavaScript 代码，并支持将受感染主机作为 SOCKS 代理使用。该恶意软件平台还内置交易市场，可直接进行木马程序的买卖交易。

END

阅读推荐

【安全圈】突发！BT面板Nginx服务器遭批量攻击

【安全圈】紧急预警！n8n 曝严重漏洞

【安全圈】突发！韩国Bithumb交易所误空投2000比特币

【安全圈】阿里30亿红包分发首日，千问App“崩了”

【安全圈】微软Azure突发10小时全球宕机！

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】初始访问黑客借 Tsundere Bot 入侵网络，或为勒索攻击铺路》