TA585 è un gruppo di cybercriminali recentemente individuato che si distingue per la gestione autonoma di tutta la catena d’attacco, dall’infrastruttura alla consegna del malware. Questo gruppo sfrutta campagne di phishing sofisticate per distribuire MonsterV2, un malware multiuso che agisce sia come remote access trojan (RAT) che come infostealer e loader. MonsterV2, noto anche come Aurotun Stealer, è stato pubblicizzato nei forum criminali a partire da febbraio 2025 e rappresenta una minaccia concreta soprattutto perché viene offerto come servizio a pagamento, con versioni che includono funzionalità avanzate come HVNC e supporto Chrome DevTools Protocol.

Le campagne di phishing di TA585

Le campagne di phishing di TA585 utilizzano esche tematiche, come finte comunicazioni dell’IRS statunitense, per indurre le vittime a cliccare su link che puntano a PDF fraudolenti. Questi documenti conducono a una pagina web che sfrutta la tecnica ClickFix per indurre l’utente a eseguire comandi dannosi tramite PowerShell, attivando così l’infezione di MonsterV2. In altri casi, i criminali iniettano JavaScript malevoli in siti legittimi, mostrando schermate CAPTCHA fasulle che, una volta interagito, attivano il download del malware.

Altre tecniche di attacco

Un’altra modalità di attacco sfruttata da TA585 prevede l’invio di notifiche email fraudolente da parte di GitHub, che menzionano l’utente in falsi avvisi di sicurezza e puntano a siti controllati dagli attaccanti. Queste strategie sono supportate da infrastrutture come CoreSecThree, un framework impiegato per la diffusione di infostealer dal 2022.

Funzionalità e tecniche di MonsterV2

MonsterV2 è dotato di funzionalità avanzate: può sottrarre dati sensibili, agire come clipper sostituendo indirizzi di criptovalute, instaurare connessioni remote HVNC, eseguire comandi arbitrari e scaricare ulteriori payload come StealC o Remcos RAT. Il malware utilizza sistemi di offuscamento come SonicCrypt per evitare i controlli di sicurezza e applica tecniche anti-debug e anti-sandbox per ostacolare le analisi. Una volta attivo, stabilisce connessione con il server C2, esfiltra informazioni e può attivare keylogger, screenshot, manipolazione file e molto altro.

Autonomia e pericolosità di TA585

La peculiarità di TA585 risiede nell’approccio indipendente: non si affida a broker di accesso o sistemi di distribuzione di terze parti, ma controlla direttamente ogni fase dell’attacco. Questa autonomia e la varietà di tecniche di delivery rendono il gruppo e MonsterV2 una minaccia particolarmente insidiosa e in continua evoluzione nell’attuale panorama del cybercrime.