Il nuovo gruppo APT rosa scuro prende di mira il governo e l’esercito in Asia Pacifico

Un nuovo gruppo APT chiamato Dark Pink ha preso di mira enti militari e governativi all’interno di numerose nazioni dell’Asia-Pacifico per estrarre documentazione preziosa.

Dark Pink APT Group prende la mira e militari e governo

Un gruppo noto come Dark Pink ha lanciato una serie di attacchi APT (Advanced Persistent Threat) tra giugno e dicembre 2022. Gli attacchi sono stati lanciati contro diversi paesi dell’Asia-Pacifico, tra cui Cambogia, Vietnam, Malesia, Indonesia, e le Filippine. Anche un paese europeo, la Bosnia ed Erzegovina, è stato preso di mira.

Gli attacchi Dark Pink sono stati scoperti per la prima volta da Albert Priego, un analista di malware di Group-IB. In un post sul blog di Group-IB relativo agli incidenti , è stato affermato che gli operatori malintenzionati di Dark Pink “stanno sfruttando una nuova serie di tattiche, tecniche e procedure raramente utilizzate da gruppi APT precedentemente noti”. ha scritto di un toolkit personalizzato con quattro diversi infostealer: TelePowerBot, KamiKakaBot, Cucky e Ctealer.

Questi infostealer vengono utilizzati da Dark Pink per estrarre documenti preziosi archiviati all’interno di reti governative e militari.

Si diceva che il vettore iniziale degli attacchi di Dark Pink fossero le campagne di spear phishing, in cui gli operatori avrebbero impersonato i candidati al lavoro. Group-IB ha anche notato che Dark Pink ha la capacità di infettare i dispositivi USB collegati a computer compromessi. Inoltre, Dark Pink può accedere ai messenger installati sui computer infetti.

Group-IB ha condiviso un’infografica sugli attacchi Dark Pink sulla sua pagina Twitter, come mostrato di seguito.

Mentre la maggior parte degli attacchi ha avuto luogo in Vietnam (di cui uno non ha avuto successo), un totale di altri cinque attacchi ha avuto luogo anche in altre nazioni.

Gli operatori di Dark Pink sono attualmente sconosciuti

Al momento in cui scrivo, gli operatori dietro Dark Pink rimangono sconosciuti. Tuttavia, Group-IB ha dichiarato nel suddetto post che “un misto di attori della minaccia dello stato-nazione provenienti da Cina, Corea del Nord, Iran e Pakistan” è stato collegato agli attacchi APT nei paesi dell’Asia-Pacifico. Ma è stato notato che sembra che Dark Pink sia nato già a metà del 2021, con un’impennata dell’attività a metà del 2022.

Group-IB ha anche osservato che lo scopo di tali attacchi è spesso quello di commettere spionaggio, piuttosto che trarne vantaggio finanziario.

Il gruppo Dark Pink APT rimane attivo

Nel suo post sul blog, Group-IB ha informato i lettori che, al momento in cui scrivo (11 gennaio 2023), il gruppo Dark Pink APT rimane attivo. Poiché gli attacchi non sono terminati fino alla fine del 2022, Group-IB sta ancora indagando sul problema e determinandone la portata.

La società spera di scoprire gli operatori di questi attacchi e ha dichiarato nel suo post sul blog che la ricerca preliminare condotta sull’incidente dovrebbe “fare molto per aumentare la consapevolezza dei nuovi TTP utilizzati da questo attore di minacce e aiutare le organizzazioni a prendere le misure pertinenti passi per proteggersi da un attacco APT potenzialmente devastante”.

I gruppi APT rappresentano un’enorme minaccia per la sicurezza

I gruppi APT (Advanced Persistent Threat) rappresentano un enorme rischio per le organizzazioni di tutto il mondo. Poiché i metodi del crimine informatico continuano ad aumentare nella loro sofisticazione, non si sa quale tipo di attacco i gruppi APT lanceranno in seguito e quali conseguenze avrà sull’obiettivo.