Analistas relataram que o grupo TA584 ampliou seu arsenal com o malware Tsundere Bot, entregue por engenharia social complexa (técnica denominada ClickFix) e com mecanismos de comando‑e‑controle que usam a blockchain Ethereum para ocultar configurações.
Descoberta e contexto
De acordo com o relatório da Cyber Security News, que cita análise da Proofpoint, Tsundere Bot surgiu em campanhas observadas desde novembro de 2025. TA584 atua como broker de acesso inicial e intensificou campanhas ao longo de 2025, rotacionando iscas, infraestrutura e contas comprometidas para evadir filtros.
Mecanismo ClickFix e cadeia de infecção
A técnica ClickFix começa com e‑mails de phishing remetidos de contas comprometidas, contendo URLs especialmente construídas para burlar filtros via geofencing e verificação de IP. Ao acessar essas URLs, vítimas são levadas por múltiplas etapas até uma página de verificação falsa (captcha). Após resolver o captcha, a página apresenta mensagens de erro fabricadas que instruem o usuário a copiar e colar comandos no Windows "Run", induzindo a execução direta de um PowerShell malicioso.
O script intermediário baixado instala Node.js (obtido de fontes legítimas), descifra dois arquivos Node.js AES‑criptografados embutidos e executa o loader que, por sua vez, inicia o Tsundere Bot. O malware exige Node.js, que a cadeia de ataque instala automaticamente via PowerShell gerado pela infraestrutura do invasor.
Persistência, evasão e infraestrutura C2
O malware incorpora contramedidas anti‑análise, incluindo restrições por endereço IP que impedem pesquisadores de recuperar payloads a menos que usem o mesmo IP que acessou a landing page. Tsundere Bot também implementa geofencing que bloqueia execução em sistemas configurados com línguas de países do CIS, seguindo práticas observadas em operadores ligados a mercados criminais russos.
A comunicação com o controle é feita para um endereço IPv4 identificado no relatório (193.17.183.126:3001) e, de forma notável, parte da configuração é recuperada via smart contracts na rede Ethereum por uma técnica chamada EtherHiding, o que dificulta a interrupção e a atribuição direta da infraestrutura C2.
Riscos operacionais
A análise inicial indica que a presença do Tsundere Bot pode evoluir para estágios com capacidade para implantar ransomware, representando risco elevado às redes corporativas. A natureza M‑as‑a‑S (malware‑as‑a‑service) e a velocidade operacional do TA584 aumentam a probabilidade de campanhas simultâneas e de alto volume.
Recomendações táticas
- Bloquear execuções arbitrárias de comandos oriundos de prompts de navegador; aplicar políticas de prevenção contra execução de PowerShell por usuários finais não privilegiados.
- Monitorar instalações não autorizadas de Node.js em endpoints gerenciados e alertar sobre criações de tarefas agendadas suspeitas.
- Implementar proteção contra phishing com validação de remetente e verificação de URLs, além de controles de geolocalização e detecção de comportamento anômalo em landing pages.
- Monitorar comunicação para endereços e domínios indicados pelos analistas e isolar amostras para análise forense.
Limites: o relatório citado não fornece métricas públicas de número de vítimas nem amostras completas do payload público; as evidências provêm de telemetria de fornecedores e da investigação da Proofpoint.
Fontes citadas: Cyber Security News (resumo do relatório) e Proofpoint (análise técnica do Tsundere Bot).