TA584 nutzt neue Malware und ClickFix-Technik für gezielte Angriffe.
Die Sicherheitsexperten von Proofpoint schlagen Alarm: TA584, einer der aktivsten Cybercrime-Akteure weltweit, hat seine Angriffsstrategie grundlegend verändert und richtet verstärkt gezielte Kampagnen gegen deutsche Unternehmen. Zuvor hatte die Gruppe hauptsächlich nordamerikanische und britische Ziele ins Visier genommen.
Zusammenfassung (TL; DR):
- Die seit November 2020 unter Beobachtung stehende Gruppe TA584 hat ihr Angriffstempo im Verlauf des Jahres 2025 massiv erhöht. Zwischen März und Dezember 2025 verdreifachte sich die Anzahl der Angriffskampagnen.
- Seit Juli 2025 setzt TA584 verstärkt auf die sogenannte ClickFix-Technik. Dabei handelt es sich um eine raffinierte Manipulationsmethode, bei der Nutzer durch gefälschte Fehlermeldungen dazu gebracht werden, selbst schädlichen Code auf ihren Computern auszuführen.
- Proofpoint empfiehlt deutschen Unternehmen dringend, vorbeugende Maßnahmen zu ergreifen: So sollte die Windows-Kommandozeile PowerShell für Nutzer gesperrt werden, die sie nicht zwingend für ihre Arbeit benötigen.
Angriffstempo verdreifacht – Taktiken ändern sich im Stundentakt
Die seit November 2020 unter Beobachtung stehende Gruppe TA584 hat ihr Angriffstempo im Verlauf des Jahres 2025 massiv erhöht. Zwischen März und Dezember 2025 verdreifachte sich die Anzahl der Angriffskampagnen. Besonders besorgniserregend ist dabei die Tatsache, dass TA584 seine Taktiken in rasanter Geschwindigkeit anpasst und ständig neue Angriffswege entwickelt. Einzelne Kampagnen bleiben oft nur wenige Stunden oder Tage aktiv, bevor sie durch neue Varianten ersetzt werden, was herkömmliche Erkennungsmethoden zunehmend wirkungslos macht.
Dabei nutzt die Gruppe hochgradig überzeugende Täuschungsmanöver. In sorgfältig gestalteten E-Mails gibt sich TA584 beispielsweise als Gesundheitseinrichtung, Regierungsbehörde, Recruiting-Unternehmen oder als bekannter Dienstleister aus. Die Kampagnen sind geografisch angepasst und nutzen regional bekannte Marken und Institutionen, um die Glaubwürdigkeit zu erhöhen. Besonders perfide ist eine Technik, die Proofpoint im Dezember beobachtete: Die Cyberkriminellen integrierten personalisierte Fotos angeblicher Paketzustellungen in die E-Mails, die den Namen und die Adresse des jeweiligen Empfängers zeigten.
Seit Juli 2025 setzt TA584 verstärkt auf die sogenannte ClickFix-Technik. Dabei handelt es sich um eine raffinierte Manipulationsmethode, bei der Nutzer durch gefälschte Fehlermeldungen dazu gebracht werden, selbst schädlichen Code auf ihren Computern auszuführen. Nach dem Klick auf einen Link in der E-Mail und dem Lösen eines scheinbar harmlosen Sicherheitsrätsels werden Nutzer zu einer präparierten Website weitergeleitet. Diese weist sie Schritt für Schritt an, gefährliche Befehle zu kopieren und auszuführen. Diese Befehle laden dann im Hintergrund Schadsoftware nach, ohne dass dies zunächst von klassischen Sicherheitssystemen erkannt wird.
Die technische Infrastruktur der Angriffe ist hochkomplex. TA584 verschickt E-Mails von hunderten gekaperten, legitimen Absenderadressen und nutzt mehrschichtige Weiterleitungsketten, um die eigentliche Schadsoftware-Quelle zu verschleiern. Die Gruppe setzt dabei spezielle Verteilsysteme (Traffic Distribution System, TDS) ein und führt umfangreiche geografische Filter und IP-Prüfungen durch, um die Erkennung zu erschweren.
Zwei gefährliche Schadsoftware-Varianten im Einsatz
Die Cyberkriminellen nutzen zwei Schadsoftware-Varianten. Zum einen TA584 XWorm mit der sogenannten „P0WER“-Konfiguration. Dabei handelt es sich um ein Fernzugriffsprogramm, das vollständig im Arbeitsspeicher läuft und sich durch geschickte Verschleierungstechniken der Entdeckung entzieht. Die Schadsoftware versteckt ihre Mechanismen zur dauerhaften Installation durch manipulierte Registry-Einträge, die für Standard-Windows-Werkzeuge unerkannt bleiben.
Zum anderen verbreitet TA584 seit Ende November 2025 erstmals die neu entwickelte Schadsoftware „Tsundere Bot”. Diese moderne Malware nutzt die Ethereum-Blockchain, um die Kommunikation mit ihren Steuerungsservern (C2) zu verschleiern, kommuniziert über spezielle Netzwerkprotokolle und benötigt Node.js zur Ausführung. Tsundere Bot wird als Schadsoftware-Baukastensystem angeboten und verfügt über umfangreiche Backdoor-Funktionen. Die Software kann beliebigen Code ausführen, Daten stehlen und weitere Schadsoftware nachladen.
Sicherheitsexperten von Proofpoint gehen davon aus, dass TA584 als sogenannter Initial Access Broker agiert: Die Gruppe verschafft sich Zugang zu Unternehmensnetzwerken und verkauft diesen anschließend an andere Cyberkriminelle weiter. Das bedeutet, dass Infektionen durch TA584 häufig der Einstieg für nachfolgende Ransomware-Angriffe sind, bei denen Daten verschlüsselt und Lösegeld erpresst wird. Die Verbindungen der Gruppe zum russischen Cybercrime-Umfeld gelten als wahrscheinlich.
Vorsorge gegen TA584
Proofpoint empfiehlt deutschen Unternehmen dringend, vorbeugende Maßnahmen zu ergreifen: So sollte die Windows-Kommandozeile PowerShell für Nutzer gesperrt werden, die sie nicht zwingend für ihre Arbeit benötigen. Sicherheitsrichtlinien sollten die Ausführung von Programmen wie Node.js aus benutzereigenen Verzeichnissen unterbinden. Der Netzwerkverkehr zu Ethereum-Knotenpunkten sollte überwacht oder blockiert werden, ebenso wie verdächtige Netzwerkverbindungen. Darüber hinaus ist die Schulung von Mitarbeitern ein unverzichtbarer Bestandteil jeder Verteidigungsstrategie.
Es ist wahrscheinlich, dass TA584 seine Aktivitäten in Europa und insbesondere in Deutschland weiter intensivieren wird. Die kontinuierliche Anpassungsfähigkeit der Gruppe und ihre Bereitschaft, neue Schadsoftware-Varianten zu testen, machen sie zu einer anhaltenden und wachsenden Bedrohung für Organisationen aller Größen und Branchen im deutschsprachigen Raum.
