Desde principios de 2017, TA544 ha destacado por ser uno de los actores más prevalecientes del panorama actual de ciberamenazas, así como por su especialización en campañas dirigidas a áreas geográficas muy concretas, distribuyendo en los dos últimos años decenas de millones de mensajes maliciosos repartidos entre ocho países objetivo.
Hasta la fecha, TA544 ha emitido seis cargas maliciosas de carácter único, aunque con distintas variaciones en cada una de ellas, dirigidas a víctimas ubicadas en Europa occidental y Japón. Según una investigación de la empresa de ciberseguridad Proofpoint, este actor de amenazas estaba especializado en sus inicios en campañas del malware bancario Panda en Italia y, de ahí, se ha ido extendiendo precisamente a España, además de Polonia, Alemania y Japón, entre otros territorios, usando una amplia variedad de softwares maliciosos como Chthonic, Smoke Loader, Nymaim, ZLoader y URLZone en combinación con Ursnif.
Junto a este auténtico “bufé de malware”, TA544 enviaba también mensajes adaptados a cada región en su correspondiente idioma, incluyendo nombres de archivo, asuntos y marcas relevantes a nivel local. En el caso de España, este actor de amenazas inició el pasado verano una campaña con el malware ZLoader, teniendo en el punto de mira a organizaciones de los sectores tecnológico, industrial y hotelero con el fin de recaudar dinero de forma fraudulenta.