TA584: Cyberkriminelle Gruppe nimmt jetzt deutsche Unternehmen verstärkt aufs Korn

„TA584“, einer der aktivsten cyberkriminellen Akteure weltweit, hat laut Proofpoint seine Angriffsstrategie grundlegend verändert und richtet nunmehr bevorzugt Kampagnen gegen deutsche Unternehmen

[datensicherheit.de, 03.02.2026] Sicherheitsexperten von Proofpoint haben Alarm geschlagen: „TA584“, einer der aktivsten cyberkriminellen Akteure weltweit, hat demnach seine Angriffsstrategie grundlegend verändert und richtet nun verstärkt gezielte Kampagnen gegen deutsche Unternehmen – zuvor habe diese Gruppe hauptsächlich nordamerikanische und britische Ziele ins Visier genommen.

„TA584“ hat Angriffstempo verdreifacht – Taktikänderung im Stundentakt

Diese seit November 2020 unter Beobachtung stehende Gruppe habe ihr Angriffstempo im Verlauf des Jahres 2025 massiv erhöht. „Zwischen März und Dezember 2025 verdreifachte sich die Anzahl der Angriffskampagnen.“

• Besonders besorgniserregend sei dabei die Tatsache, dass „TA584“ seine Taktiken in rasanter Geschwindigkeit anpasse und ständig neue Angriffswege entwickele.

Einzelne Kampagnen blieben oft nur wenige Stunden oder Tage aktiv, bevor sie durch neue Varianten ersetzt würden, was herkömmliche Erkennungsmethoden zunehmend wirkungslos mache.

„TA584“ gibt sich u.a. als Gesundheitseinrichtung, Regierungsbehörde, Recruiting-Unternehmen oder bekannter Dienstleister aus

Dabei nutze die Gruppe hochgradig überzeugende Täuschungsmanöver. In sorgfältig gestalteten E-Mails gebe sich „TA584“ beispielsweise als Gesundheitseinrichtung, Regierungsbehörde, Recruiting-Unternehmen oder als bekannter Dienstleister aus.

• Die Kampagnen seien geographisch angepasst und nutzten regional bekannte Marken und Institutionen, um die Glaubwürdigkeit zu erhöhen.

Besonders perfide sei eine von Proofpoint im Dezember 2025 beobachtete Technik: „Die Cyberkriminellen integrierten personalisierte Fotos angeblicher Paketzustellungen in die E-Mails, die den Namen und die Adresse des jeweiligen Empfängers zeigten.“

„TA584“ setzt seit Juli 2025 verstärkt auf „ClickFix“-Technik

Seit Juli 2025 setze „TA584“ verstärkt auf die sogenannte ClickFix-Technik. „Dabei handelt es sich um eine raffinierte Manipulationsmethode, bei der Nutzer durch gefälschte Fehlermeldungen dazu gebracht werden, selbst schädlichen Code auf ihren Computern auszuführen.“

• Nach dem Klick auf einen Link in der E-Mail und dem Lösen eines scheinbar harmlosen Sicherheitsrätsels würden Nutzer zu einer präparierten Website weitergeleitet.

Diese weise sie Schritt für Schritt an, gefährliche Befehle zu kopieren und auszuführen. „Diese Befehle laden dann im Hintergrund Schadsoftware nach, ohne dass dies zunächst von klassischen Sicherheitssystemen erkannt wird.“

„TA584“ verschickt E-Mails von Hunderten gekaperten, legitimen Absenderadressen

Die technische Infrastruktur dieser Angriffe sei hochkomplex. „TA584“ verschicke E-Mails von Hunderten gekaperten, legitimen Absenderadressen und nutze mehrschichtige Weiterleitungsketten, um die eigentliche Schadsoftware-Quelle zu verschleiern.

• Die Gruppe setze dabei spezielle Verteilsysteme („Traffic Distribution Systems“ / TDS) ein und führe umfangreiche geographische Filter und IP-Prüfungen durch, um die Erkennung zu erschweren.

Die Cyberkriminellen nutzten zwei Schadsoftware-Varianten. Zum einen „TA584 XWorm“ mit der sogenannten „P0WER“-Konfiguration. Dabei handele es sich um ein Fernzugriffsprogramm, welches vollständig im Arbeitsspeicher laufe und sich durch geschickte Verschleierungstechniken der Entdeckung entziehe. Diese Schadsoftware verstecke ihre Mechanismen zur dauerhaften Installation durch manipulierte Registry-Einträge, welche für Standard-„Windows“-Werkzeuge unerkannt blieben.

„TA584“ verbreitet seit Ende November 2025 neuentwickelte Schadsoftware „Tsundere Bot”

Zum anderen verbreite „TA584“ seit Ende November 2025 erstmals die neuentwickelte Schadsoftware „Tsundere Bot”. Diese moderne Malware nutze die „Ethereum“-Blockchain, um die Kommunikation mit ihren Steuerungsservern (C2) zu verschleiern, kommuniziere über spezielle Netzwerkprotokolle und benötige „Node.js“ zur Ausführung.

• „Tsundere Bot“ werde als Schadsoftware-Baukastensystem angeboten und verfüge über umfangreiche „Backdoor“-Funktionen. Diese Software könne beliebigen Code ausführen, Daten stehlen und weitere Schadsoftware nachladen.

Sicherheitsexperten von Proofpoint gehen davon aus, dass „TA584“ als sogenannter Initial Access Broker agiert: „Die Gruppe verschafft sich Zugang zu Unternehmensnetzwerken und verkauft diesen anschließend an andere Cyberkriminelle weiter. Das bedeutet, dass Infektionen durch ,TA584‘ häufig der Einstieg für nachfolgende Ransomware-Angriffe sind, bei denen Daten verschlüsselt und Lösegeld erpresst wird.“ Die Verbindungen der Gruppe zum russischen Cybercrime-Umfeld gelten laut Proofpoint als „wahrscheinlich“.

Wahrscheinlich, dass „TA584“ seine Aktivitäten in Europa und insbesondere in Deutschland weiter intensivieren wird

Proofpoint empfiehlt deutschen Unternehmen dringend, vorbeugende Maßnahmen zu ergreifen: „So sollte die ,Windows’-Kommandozeile ,PowerShell’ für Nutzer gesperrt werden, die sie nicht zwingend für ihre Arbeit benötigen. Sicherheitsrichtlinien sollten die Ausführung von Programmen wie ,Node.js’ aus benutzereigenen Verzeichnissen unterbinden.“

• Der Netzwerkverkehr zu „Ethereum“-Knotenpunkten sollte überwacht oder blockiert werden, ebenso wie verdächtige Netzwerkverbindungen. Darüber hinaus sei die Schulung von Mitarbeitern ein unverzichtbarer Bestandteil jeder Verteidigungsstrategie.

Es sei wahrscheinlich, dass „TA584“ seine Aktivitäten in Europa und insbesondere in Deutschland weiter intensivieren werde. Die kontinuierliche Anpassungsfähigkeit dieser Gruppe und ihre Bereitschaft, neue Schadsoftware-Varianten zu testen, machten sie zu einer anhaltenden und wachsenden Bedrohung für Organisationen aller Größen und Branchen im deutschsprachigen Raum.

Weitere Informationen zum Thema:

proofpoint
What Sets Us Apart: Email, social media, and mobile devices are the tools of your trade—and for cyber criminals, the tools of attack. Proofpoint protects your people, data and brand against advanced threats and compliance risks.

proofpoint
Can’t stop, won’t stop: TA584 innovates initial access / Key findings

SECURELIST by Kaspersky, Lisandro Ubiedo, 20.11.2025
Blockchain and Node.js abused by Tsundere: an emerging botnet

THE HACKER NEWS, Ravie Lakshmanan, 20.11.2025
Tsundere Botnet Expands Using Game Lures and Ethereum-Based C2 on Windows