Cybersecurity-onderzoekers hebben licht geworpen op een voorheen ongedocumenteerde bedreigingsacteur genaamd TA585 waarvan is waargenomen dat deze een kant-en-klare malware aflevert, genaamd MonsterV2 via phishing-campagnes.
Het Proofpoint Threat Research Team beschreef het cluster van bedreigingsactiviteiten als geavanceerd, waarbij gebruik werd gemaakt van webinjecties en filtercontroles als onderdeel van de aanvalsketens.
“TA585 is opmerkelijk omdat het de volledige aanvalsketen lijkt te bezitten met meerdere leveringstechnieken”, aldus onderzoekers Kyle Cucci, Tommy Madjar en Selena Larson. “In plaats van gebruik te maken van andere bedreigingsactoren – zoals betalen voor distributie, het kopen van toegang van initiële toegangsmakelaars of het gebruik van een verkeersafleveringssysteem van derden – beheert TA585 zijn eigen infrastructuur, levering en malware-installatie.”
MonsterV2 is een trojan voor externe toegang (RAT), stealer en loader, waarvan Proofpoint voor het eerst zag dat deze in februari 2025 werd geadverteerd op criminele forums. Het is vermeldenswaard dat MonsterV2 ook Aurotun Stealer wordt genoemd (een spelfout van “autorun”) en eerder is gedistribueerd via CastleLoader (ook bekend als CastleBot).
Er zijn phishing-campagnes waargenomen waarbij de malware werd verspreid, waarbij gebruik werd gemaakt van kunstaas met de Amerikaanse Internal Revenue Service (IRS) om gebruikers te misleiden om op valse URL’s te klikken die naar een pdf verwijzen, die op zijn beurt linkt naar een webpagina die de social engineering-tactiek ClickFix gebruikt om de infectie te activeren door een kwaadaardige opdracht uit te voeren in het Windows Run-dialoogvenster of de PowerShell-terminal. De PowerShell-opdracht is ontworpen om een PowerShell-script in de volgende fase uit te voeren dat MonsterV2 implementeert.
Daaropvolgende aanvalsgolven die in april 2025 werden gedetecteerd, hebben hun toevlucht genomen tot kwaadaardige JavaScript-injecties op legitieme websites die valse CAPTCHA-verificatie-overlays aanbieden om de aanval via ClickFix te initiëren, wat uiteindelijk leidde tot de levering van de malware via een PowerShell-opdracht.
De eerste herhalingen van deze campagne verspreidden Lumma Stealer, voordat TA585 begin 2025 overstapte naar MonsterV2. Interessant is dat de JavaScript-inject en de bijbehorende infrastructuur (intlspring(.)com) ook zijn gekoppeld aan de distributie van Rhadamanthys Stealer.
Een derde reeks campagnes van TA585 heeft gebruik gemaakt van e-mailmeldingen van GitHub die worden geactiveerd wanneer GitHub-gebruikers worden getagd in valse beveiligingsmeldingen die URL’s bevatten die leiden naar door actoren gecontroleerde websites.
Beide activiteitenclusters – die draaien om webinjects en valse GitHub-waarschuwingen – zijn in verband gebracht met CoreSecThree, wat volgens PRODAFT een ‘geavanceerd raamwerk’ is waarvan bekend is dat het actief is sinds februari 2022 en dat ‘consequent’ wordt gebruikt om stealer-malware te verspreiden.
MonsterV2 is een complete malware die gevoelige gegevens kan stelen, kan fungeren als een clipper door cryptocurrency-adressen op het klembord van het geïnfecteerde systeem te vervangen door door de bedreigingsactor verstrekte portemonnee-adressen, afstandsbediening tot stand kan brengen met behulp van Hidden Virtual Network Computing (HVNC), opdrachten van een externe server kan ontvangen en uitvoeren, en extra payloads kan downloaden.
De malware wordt door een Russisch sprekende acteur verkocht voor $800 USD per maand voor de “Standard”-versie, terwijl de “Enterprise”-versie, die wordt geleverd met ondersteuning voor stealer, loader, HVNC en Chrome DevTools Protocol (CDP), $2.000 per maand kost. Een opmerkelijk aspect van de dief is dat hij voorkomt dat landen van het Gemenebest van Onafhankelijke Staten (GOS) worden geïnfecteerd.
MonsterV2 wordt doorgaans verpakt met behulp van een C++-crypter genaamd SonicCrypt, waardoor het detectie kan omzeilen door een reeks anti-analysecontroles uit te voeren voordat de payload wordt gedecodeerd en geladen.
Eenmaal gelanceerd, decodeert en lost de malware de Windows API-functies op die cruciaal zijn voor het functioneren ervan, naast het verhogen van de rechten. Vervolgens gaat het verder met het decoderen van een ingebedde configuratie om verbinding te maken met de command-and-control (C2)-server, en bepaalt het de volgende actie op basis van de ingestelde parameters:
- anti_dbg: indien ingesteld op True, probeert de malware de gebruikte debuggers te detecteren en te omzeilen
- anti_sandbox: indien ingesteld op True, probeert de malware sandboxen te detecteren en enkele rudimentaire anti-sandbox-technieken uit te voeren
- aurotun (het is deze spelfout die het de naam Aurotun Stealer heeft gegeven), indien ingesteld op True, probeert de malware persistentie op de host in te stellen
- priviledge_escalation, indien ingesteld op True, probeert de malware zijn rechten te verhogen
Als de malware met succes contact maakt met de C2-server, verzendt deze basissysteeminformatie en de geolocatie van het systeem door een verzoek te sturen naar “api.ipify(.)org.” Het antwoord van de server bevat het commando dat op de host moet worden uitgevoerd. Enkele van de ondersteunde functies worden hieronder vermeld:
- Voer de infostealer-functionaliteit uit en exfiltreer gegevens naar de server
- Voer een willekeurig commando uit via cmd.exe of PowerShell
- Doelprocessen beëindigen, onderbreken en hervatten
- Breng een HVNC-verbinding tot stand met het geïnfecteerde systeem
- Maak screenshots van het bureaublad
- Start een keylogger
- Bestanden opsommen, manipuleren, kopiëren en exfiltreren
- Sluit het systeem af of laat het crashen
- Download en voer volgende fase-payloads uit, zoals StealC en Remcos RAT
“Deze activiteit was echter niet gecorreleerd met TA585. Met name bij StealC waren de MonsterV2-payloads geconfigureerd om dezelfde C2-server te gebruiken als de verwijderde StealC-payload”, aldus Proofpoint. “TA585 is een unieke bedreigingsacteur met geavanceerde mogelijkheden voor targeting en levering. Omdat het landschap van cybercriminaliteit voortdurend verandert, heeft TA585 effectieve strategieën aangenomen voor filtering, levering en installatie van malware.”
