Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Wouter Hoeffnagel - 05 februari 2026

Proofpoint: Prominente cyberdreiging gaat tegen trend in

Cyberdreigingen veranderden het afgelopen jaar sterk in aanpak, doelgroepen en gebruikte malware. Hierdoor zijn diverse dreigingsactoren van het toneel verdwenen. Dreigingsactor TA584 is een uitzondering en blijft in tegenstelling tot veel andere groepen in gedrag en doelwitkeuze. Tegelijkertijd laat de actor een snelle ontwikkeling zien, waardoor traditionele detectiemethoden moeite hebben om de activiteiten te herkennen.

Security
Proofpoint: Prominente cyberdreiging gaat tegen trend in image

Dit melden onderzoekers van cybersecuritybedrijf Proofpoint. In 2025 verdrievoudigde TA584 het aantal campagnes en breidde het de doelwitten uit. Daarnaast begon de groep met het gebruik van ClickFix, een vorm van social engineering waarbij gebruikers via valse foutmeldingen worden misleid om kwaadaardige PowerShell-opdrachten uit te voeren. Ook verspreidt TA584 sinds kort Tsundere Bot, een nieuwe malwarevariant die functioneert als een backdoor en ransomware-activiteiten ondersteunt. Naast deze nieuwe dreiging blijft de groep ook bestaande payloads zoals XWorm inzetten. Volgens Proofpoint fungeert TA584 vaak als initial access broker, waarbij infecties leiden tot ransomware, datadiefstal en langdurige compromittering van systemen.

Uit de analyse blijkt onder meer:

  • TA584 past campagnes snel aan: de groep lanceert, wijzigt en beëindigt acties binnen enkele uren of dagen, met een focus op continue aanpassing in plaats van hergebruik.
  • De inzet van ClickFix neemt toe: via valse foutmeldingen worden gebruikers gemanipuleerd om zelf kwaadaardige scripts uit te voeren.
  • Tsundere Bot is een nieuwe toevoeging: deze Malware-as-a-Service maakt gebruik van blockchain-gebaseerde command-and-control-detectie en ondersteunt ransomware-aanvallen.
  • De doelwitselectie wordt wereldwijder: campagnes wisselen steeds vaker tussen Europa en Noord-Amerika, met gelokaliseerde lokmiddelen en branding om het succes te vergroten.

'Zowel Noord-Amerika en Europa is doelwit'

“Dit onderzoek biedt het meest uitgebreide, openbare inzicht in de prominente cybercriminele actor. De dreigingsactor, TA584, richt zich met geavanceerde social engineering en steeds veranderende technieken vaak op Noord-Amerika en Europa", zegt Selena Larson, Senior Threat Analyst bij Proofpoint. “Het onderzoek toont ook aan hoe creatief cybercriminelen zijn en hoe snel zij kunnen innoveren om mensen nog doeltreffender te benaderen. In 2025 veranderde TA584 enorm. Zo ging het gebruik maken van nieuwe social engineeringtechnieken, zoals ClickFix, en malware, zoals Tsundere Bot. Deze worden nog steeds gebruikt in aanvallen. De campagnes van TA584 zijn unieke, statische detecties. Hierdoor voldoet het vertrouwen op IOC’s als effectieve verdedigingsmiddelen alleen niet langer.

“Het is bekend dat cybercriminelen van elkaar leren. Ook is het mogelijk dat de omvangrijke, sterk gepersonaliseerde en continu evoluerende activiteiten van deze dreigingsactor worden overgenomen in de toekomst. Door het gedrag van actoren zoals TA548 te begrijpen, kunnen organisaties het steeds evoluerende cyberlandschap beter begrijpen en verdedigen.”

Datto 01 2026 BW + BN periode 1 PNY 01-2026 BW

Dutch IT events

Event icon

Event

Dutch IT Security Day op 18 juni 2026

Event icon

Event

Eurofiber You're on Stage Academy 2025

Alle events
Digital Realty AMS11 BN

Over Wouter Hoeffnagel

Wouter Hoeffnagel

Wouter Hoeffnagel is Manager Online Content bij Dutch IT Media

Hij is expert op het gebied van ICT en schrijft hierover al jaren in de vorm van nieuwsberichten en inzichtelijke artikelen.