Investigadores detectan un cambio masivo en las herramientas de los “Initial Access Brokers” (IAB), quienes han reemplazado viejos favoritos por un nuevo malware modular que usa Blockchain para esconderse.
El mercado del cibercrimen es volátil, y los intermediarios que venden las llaves de tu red acaban de encontrar un nuevo juguete favorito. Hoy 29 de enero de 2026, que el prolífico grupo de hackers conocido como TA584 ha triplicado su actividad en los últimos meses, abandonando herramientas antiguas para estandarizar sus operaciones con un nuevo malware: el Tsundere Bot.
Este bot, cuyo nombre parece una referencia inusual a la cultura pop japonesa (anime), no tiene nada de inocente. Es una plataforma avanzada de “Malware-as-a-Service” diseñada para convertir ordenadores infectados en puertas traseras persistentes, listas para ser vendidas al mejor postor (usualmente pandillas de Ransomware).
¿Quién es TA584 y qué están haciendo?
TA584 es un Initial Access Broker (IAB) veterano, activo desde 2020. Su trabajo no es cifrar archivos, sino romper la puerta, asegurar la entrada y vender ese acceso a otros criminales.
- Expansión Global: Según Proofpoint, a finales de 2025 su actividad se triplicó, expandiéndose desde sus objetivos habituales en EE. UU. y Reino Unido hacia Alemania, el resto de Europa y Australia.
- El Cambio: Históricamente usaban malware como Ursnif o Cobalt Strike. Ahora, combinan XWorm (un troyano de acceso remoto) con Tsundere Bot para crear una cadena de infección redundante y difícil de detectar.
Análisis Técnico: Tsundere Bot
Este malware destaca por su arquitectura moderna y técnicas de evasión de censura:
- Infraestructura Node.js: A diferencia de muchos troyanos escritos en C++, Tsundere requiere Node.js para funcionar. Si el sistema de la víctima no lo tiene, el malware descarga e instala silenciosamente el entorno de ejecución.
- C2 en la Blockchain (EtherHiding): Para evitar que las listas negras bloqueen sus servidores de comando y control (C2), Tsundere utiliza la técnica de EtherHiding.
- El malware consulta la cadena de bloques de Ethereum para recuperar la dirección IP actual de su servidor C2. Esto hace que “tirar” su infraestructura sea casi imposible, ya que la dirección está grabada en la blockchain pública.
- Filtrado Geográfico: El malware incluye un “kill switch” ético (o más bien, de supervivencia): se desactiva automáticamente si detecta que el sistema está en un país de la CEI (Comunidad de Estados Independientes), lo que sugiere fuertemente que sus operadores son de habla rusa y buscan evitar problemas legales locales.
La Cadena de Ataque: ClickFix Recargado
Para infectar a las víctimas, TA584 está utilizando una variante de la técnica “ClickFix” que hemos visto evolucionar recientemente:
- Phishing: Envían correos desde cuentas comprometidas reales, usando servicios legítimos como SendGrid para evadir filtros de spam.
- Redirección: El usuario pasa por una serie de filtros (TDS como Keitaro) que verifican si es una víctima válida (no un bot de seguridad).
- El Engaño: Aterrizan en una página con un CAPTCHA falso o un error de visualización.
- La Infección: Se instruye al usuario a pegar un comando de PowerShell en su terminal para “verificar que es humano”. Este comando descarga el script ofuscado que instala Tsundere Bot.
¿Por qué importa esto?
La aparición de Tsundere Bot en manos de un actor tan prolífico como TA584 es una señal de alerta temprana. Cuando un IAB establece acceso, el ataque de ransomware suele seguir en cuestión de días o semanas.
Recomendación
Los equipos de seguridad deben monitorear la ejecución de comandos de PowerShell iniciados por el usuario (especialmente aquellos que descargan instaladores de Node.js) y bloquear el tráfico de red hacia direcciones IP recuperadas de transacciones de contratos inteligentes de Ethereum desconocidos.
