Un nuevo grupo APT llamado Dark Pink ha estado apuntando a organismos militares y gubernamentales dentro de numerosas naciones de Asia-Pacífico para extraer documentación valiosa.
Dark Pink APT Group apunta y militar y gubernamental
Una serie de Ataques de amenazas persistentes avanzadas (APT) se descubrió que fue lanzado por un grupo conocido como Dark Pink entre junio y diciembre de 2022. Los ataques se lanzaron contra varios países de Asia-Pacífico, incluidos Camboya, Vietnam, Malasia, Indonesia y Filipinas. Un país europeo, Bosnia y Herzegovina, también fue atacado.
Los ataques de Dark Pink fueron descubiertos por primera vez por Albert Priego, un analista de malware de Group-IB. en un Publicación de blog del Grupo IB sobre los incidentes, se afirmó que los operadores maliciosos de Dark Pink están "aprovechando un nuevo conjunto de tácticas, técnicas y procedimientos que rara vez utilizan los operadores previamente conocidos". Grupos APT". Entrando en más detalles, Group-IB escribió sobre un conjunto de herramientas personalizado con cuatro ladrones de información diferentes: TelePowerBot, KamiKakaBot, Cucky y Cteador.
Dark Pink utiliza estos ladrones de información para extraer documentos valiosos almacenados en redes gubernamentales y militares.
Se decía que el vector inicial de los ataques de Dark Pink era campañas de spear phishing, en el que los operadores se harían pasar por solicitantes de empleo. Group-IB también señaló que Dark Pink tiene la capacidad de infectar los dispositivos USB conectados a las computadoras comprometidas. Además de esto, Dark Pink puede acceder a los mensajeros instalados en las computadoras infectadas.
Group-IB compartió una infografía sobre los ataques de Dark Pink en su página de Twitter, como se muestra a continuación.
Si bien la mayoría de los ataques tuvieron lugar en Vietnam (uno de los cuales fracasó), también se produjeron un total de cinco ataques adicionales en otras naciones.
Los operadores de Dark Pink son actualmente desconocidos
Al momento de escribir, los operadores detrás de Dark Pink siguen siendo desconocidos. Sin embargo, Group-IB afirmó en la publicación antes mencionada que "una mezcla de actores de amenazas del estado-nación de China, Corea del Norte, Irán y Pakistán" se han relacionado con ataques APT en países de Asia-Pacífico. Pero se notó que parece que Dark Pink surgió a mediados de 2021, con un aumento en la actividad a mediados de 2022.
Group-IB también señaló que el objetivo de tales ataques es a menudo cometer espionaje, en lugar de beneficiarse económicamente.
El grupo APT rosa oscuro permanece activo
En su publicación de blog, Group-IB informó a los lectores que, al momento de escribir (11 de enero de 2023), el grupo APT Dark Pink permanece activo. Como los ataques no terminaron hasta finales de 2022, Group-IB todavía está investigando el problema y determinando su alcance.
La compañía espera descubrir a los operadores de estos ataques, y declaró en su blog que la investigación preliminar realizada sobre el incidente debería "recorrer un largo camino para crear conciencia sobre los nuevos TTP utilizados por este actor de amenazas y ayudar a las organizaciones a tomar las medidas pertinentes para protegerse de un APT potencialmente devastador ataque".
Los grupos APT representan una gran amenaza para la seguridad
Los grupos de amenazas persistentes avanzadas (APT) representan un gran riesgo para las organizaciones de todo el mundo. A medida que los métodos de ciberdelincuencia continúan aumentando en su sofisticación, no se sabe qué tipo de ataque lanzarán los grupos APT a continuación y qué consecuencias tendrá en el objetivo.