El grupo cibercriminal TA585 ha captado la atención de la industria de ciberseguridad por su alto nivel de sofisticación y autonomía operativa. Según la empresa de ciberseguridad y cumplimiento normativo Proofpoint, este grupo controla toda su cadena de ataque —desde la infraestructura hasta la entrega de correos electrónicos y la instalación de malware—, evitando depender de intermediarios o servicios de terceros.
A diferencia de otros actores, TA585 gestiona su propia infraestructura y desarrolla campañas únicas de inyección web, utilizando un complejo sistema de filtrado que garantiza que las cargas maliciosas lleguen solo a víctimas reales.
“La evolución del cibercrimen y su ecosistema de apoyo ha hecho que el panorama de amenazas sea comparable con el mercado laboral moderno y con la ‘economía gig’ basada en trabajos temporales o esporádicos. No obstante, TA585 se desmarca de esa tendencia, ya que posee y gestiona casi todo su modelo de negocio, excepto el malware final que adquiere como malware como servicio”, explican los investigadores de amenazas de Proofpoint.
El grupo registra y mantiene sus propios dominios bajo la infraestructura de Cloudflare y utiliza inyecciones de JavaScript en sitios comprometidos para desplegar superposiciones web falsas que incluyen CAPTCHAs fraudulentos. Estas páginas, al parecer legítimas, inducen a los usuarios a realizar clics o ejecutar comandos, desencadenando así la instalación del malware MonsterV2.
MonsterV2, detectado por primera vez en febrero de 2025, es un software vendido en foros clandestinos y cuenta con funciones tanto de ladrón de información como de troyano de acceso remoto. Este malware fue distribuido inicialmente en campañas de phishing que imitaban al Servicio de Impuestos Internos de Estados Unidos, dirigidas a empresas de finanzas y contabilidad. Los mensajes contenían enlaces que conducían a un PDF y luego a una página web que usaba la técnica ClickFix, diseñada para hacer que los usuarios ejecutaran comandos maliciosos en PowerShell o Windows.
Jonathan Munizaga
Este malware se ha posicionado como una herramienta integral dentro del ecosistema criminal, capaz de robar datos sensibles como credenciales de navegador, información financiera y monederos de criptomonedas. Además, permite visualizar escritorios, grabar webcams, establecer conexiones remotas encubiertas y ejecutar comandos adicionales en los sistemas comprometidos.
Proofpoint sugiere que MonsterV2 podría estar llenando los vacíos que dejaron las recientes operaciones policiales contra otros infostealers, como Lumma Stealer. Los investigadores concluyen que “el grupo ha adoptado estrategias efectivas para el filtrado, la entrega y la instalación de malware, y seguiremos viendo surgir nuevas familias próximamente”.
TA585 representa una nueva etapa en la profesionalización del cibercrimen, marcada por la integración vertical y el control total de los recursos necesarios para llevar a cabo ataques altamente dirigidos.
