Kelompok peretas penyedia akses awal (initial access broker) yang dilacak sebagai TA584 terpantau mengubah taktiknya dengan memanfaatkan Tsundere Bot bersama XWorm remote access trojan untuk memperoleh akses jaringan yang berpotensi berujung pada serangan ransomware. Perubahan ini menandai eskalasi signifikan dalam operasi TA584 yang selama ini dikenal aktif memasok akses awal ke jaringan korban.
Peneliti dari Proofpoint telah memantau aktivitas TA584 sejak 2020 dan melaporkan bahwa kelompok ini meningkatkan intensitas serangannya secara drastis dalam beberapa waktu terakhir. Rantai serangan terbaru dirancang agar bersifat berkelanjutan dan dinamis, sehingga mampu menghindari deteksi statis yang mengandalkan indikator ancaman konvensional.
Tsundere Bot pertama kali didokumentasikan oleh Kaspersky pada tahun sebelumnya dan dikaitkan dengan operator berbahasa Rusia yang memiliki relasi dengan malware pencuri data. Meski tujuan awalnya sempat belum sepenuhnya jelas, analisis terbaru menunjukkan bahwa malware ini dapat digunakan untuk pengumpulan informasi, eksfiltrasi data, pergerakan lateral di jaringan, hingga pemasangan muatan tambahan. Dengan pola penggunaan tersebut, para peneliti menilai infeksi Tsundere Bot memiliki peluang besar untuk berujung pada penyebaran ransomware.
Aktivitas TA584 pada paruh akhir 2025 tercatat meningkat tajam, dengan volume kampanye mencapai tiga kali lipat dibandingkan kuartal pertama tahun yang sama. Target serangan pun meluas, tidak lagi terbatas pada Amerika Utara dan wilayah Inggris–Irlandia, tetapi juga mencakup Jerman, sejumlah negara Eropa lain, serta Australia.
Rantai serangan yang saat ini dominan dimulai dari email phishing yang dikirim melalui ratusan akun lama yang telah dikompromikan. Distribusi email memanfaatkan layanan pengiriman email komersial dan menyertakan URL unik untuk setiap target, dilengkapi mekanisme geofencing dan penyaringan alamat IP. Korban yang lolos dari tahap penyaringan diarahkan ke halaman CAPTCHA, lalu ke halaman ClickFix yang menginstruksikan mereka untuk menjalankan perintah PowerShell secara manual.
Perintah tersebut akan mengunduh dan mengeksekusi skrip yang disamarkan, memuat XWorm atau Tsundere Bot langsung ke memori sistem, lalu mengalihkan browser korban ke situs yang tampak tidak berbahaya untuk mengelabui pengguna. Pendekatan ini memanfaatkan rekayasa sosial untuk membuat korban secara tidak sadar menjalankan kode berbahaya di sistemnya sendiri.
Dalam beberapa tahun terakhir, TA584 diketahui bereksperimen dengan beragam muatan malware, mulai dari trojan perbankan, loader, hingga framework pasca-eksploitasi. Penggunaan Tsundere Bot menandai langkah baru yang lebih fleksibel dan modular, seiring meningkatnya permintaan akan akses awal berkualitas tinggi di ekosistem ransomware.
Tsundere Bot sendiri beroperasi sebagai platform malware-as-a-service dengan kemampuan backdoor dan loader. Malware ini membutuhkan Node.js untuk berjalan dan secara otomatis menambahkannya ke sistem korban melalui installer yang dihasilkan dari panel command and control. Untuk menyembunyikan infrastruktur kendalinya, alamat server C2 diambil dari blockchain Ethereum, dengan alamat cadangan yang ditanamkan langsung di dalam installer.
Komunikasi antara malware dan server C2 dilakukan melalui WebSocket. Tsundere Bot juga memeriksa pengaturan bahasa sistem dan akan menghentikan eksekusi jika mendeteksi lingkungan dengan bahasa negara-negara CIS, sebuah pola yang umum ditemukan pada malware yang ingin menghindari infeksi di wilayah asal operatornya. Selain mengumpulkan profil sistem korban, malware ini dapat mengeksekusi kode JavaScript arbitrer, memanfaatkan mesin korban sebagai proxy SOCKS, serta memperdagangkan bot yang terinfeksi melalui pasar internal.
Para peneliti memperkirakan bahwa TA584 akan terus memperluas cakupan target dan bereksperimen dengan kombinasi muatan malware baru. Peralihan ke Tsundere Bot menunjukkan bagaimana ekosistem kejahatan siber terus beradaptasi, mengaburkan batas antara penyedia akses awal dan operator ransomware, sekaligus meningkatkan risiko bagi organisasi yang masih mengandalkan pertahanan email dan endpoint konvensional.