【安全圈】初始訪問黑客借 Tsundere Bot 入侵網絡，或為勒索攻擊鋪路

關鍵詞

勒索軟件

代號為 TA584 的高活躍度初始訪問中間商近期被發現，正利用 Tsundere Bot 與 XWorm 遠程訪問木馬獲取目標網絡訪問權限，為后續勒索軟件攻擊創造條件。

自 2020 年以來，Proofpoint 研究人員便持續追蹤 TA584 的活動。他們指出，該威脅組織近期大幅擴大攻擊規模，并構建了一套可規避靜態檢測的持續性攻擊鏈。

Tsundere Bot 惡意軟件于去年首次由卡巴斯基公開披露，研究人員將其歸屬至一個與 123 Stealer 竊密木馬相關聯的俄語系攻擊組織。盡管該惡意軟件最初的攻擊目的與傳播途徑尚不明確，但 Proofpoint 表示，其可用于信息收集、數據竊取、橫向移動以及部署額外惡意載荷。

鑒于研究人員已觀測到 TA584 在攻擊中使用該惡意軟件，所以研究團隊高度確信，遭受 Tsundere Bot 感染的主機極有可能成為后續勒索軟件攻擊的目標。

2025 年末，TA584 的攻擊活動總量較同年第一季度增長兩倍，攻擊范圍也從傳統的北美、英國及愛爾蘭地區，進一步擴展至德國、歐洲多國及澳大利亞。

TA584 活動的數量

該組織當前主流攻擊鏈流程如下：首先利用數百個遭劫持的老舊郵箱賬戶，通過 SendGrid 與亞馬遜簡易郵件服務（SES）發送釣魚郵件；郵件包含針對不同目標的專屬鏈接，并設置地理圍欄與 IP 過濾機制，跳轉鏈路中通常會引入 Keitaro 等第三方流量分發系統（TDS）。

通過過濾機制的用戶會進入人機驗證（CAPTCHA）頁面，隨后跳轉至 ClickFix 頁面，頁面會誘導用戶在本地執行一條 PowerShell 命令。

CAPTCHA ( 左 ) 和 ClickFix ( 右 ) 頁面

該命令會下載并執行一段經過混淆處理的腳本，將 XWorm 或 Tsundere Bot 加載至內存中，同時將瀏覽器重定向至正常網站以掩蓋惡意行為。

PowerShell 腳本

Proofpoint 表示，多年來 TA584 在攻擊中使用過大量惡意載荷，包括 Ursnif、LDR4、WarmCookie、Xeno RAT、Cobalt Strike 以及 DCRAT，其中 DCRAT 在 2025 年的一起攻擊事件中仍被使用。

Tsundere Bot 是一款具備后門與加載器功能的惡意軟件即服務（MaaS）平臺，運行依賴 Node.js 環境，該環境會通過其命令與控制（C2）面板生成的安裝程序自動部署到受害者設備中。

該惡意軟件采用改進版 EtherHiding 技術，從以太坊區塊鏈中獲取 C2 服務器地址，安裝程序中同時內置硬編碼備用地址，以防主地址失效。

惡意軟件通過 WebSocket 協議與 C2 服務器通信，并內置系統區域檢測邏輯：若檢測到設備使用獨立國家聯合體（CIS）成員國語言（以俄語為主），則立即終止運行。

此外，Tsundere Bot 會收集系統信息以構建受感染主機畫像，可執行從 C2 服務器下發的任意 JavaScript 代碼，并支持將受感染主機作為 SOCKS 代理使用。該惡意軟件平臺還內置交易市場，可直接進行木馬程序的買賣交易。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！