Un nuevo grupo APT llamado Dark Pink se ha dirigido a agencias militares y gubernamentales en muchos países de Asia-Pacífico para extraer documentación valiosa.
El grupo APT rosa oscuro apunta al ejército y al gobierno
Un grupo conocido como Dark Pink lanzó una serie de ataques de amenazas persistentes avanzadas (APT) entre junio y diciembre de 2022. Los ataques se lanzaron contra varios países de Asia-Pacífico, incluidos Camboya, Vietnam, Malasia, Indonesia y Filipinas. Un país europeo, Bosnia y Herzegovina, también fue atacado.
Los ataques de Dark Pink fueron descubiertos por primera vez por Albert Priego, un analista de malware de Group-IB. En una publicación de blog de Group-IB sobre los incidentes, se afirmó que los operadores maliciosos de Dark Pink «explotan un nuevo conjunto de tácticas, técnicas y procedimientos que rara vez utilizan los grupos APT previamente conocidos». Entrando en más detalles, Group-IB describió un conjunto de herramientas personalizado que incluye cuatro ladrones de información diferentes: TelePowerBot, KamiKakaBot, Cucky y Ctealer.
Dark Pink utiliza estos ladrones de información para extraer documentos valiosos almacenados en redes gubernamentales y militares.
Según los informes, el vector inicial de los ataques de Dark Pink fueron las campañas de phishing, en las que los operadores se hicieron pasar por candidatos para un puesto. Group-IB también señaló que Dark Pink tiene la capacidad de infectar dispositivos USB conectados a computadoras comprometidas. Además, Dark Pink puede acceder a los mensajeros instalados en las computadoras infectadas.
Group-IB compartió una infografía sobre los ataques de Dark Pink en su página de Twitter, como se ve a continuación.
Si bien la mayoría de los ataques tuvieron lugar en Vietnam (uno de los cuales fracasó), también se produjeron un total de cinco ataques adicionales en otros países.
Los operadores de Dark Pink son actualmente desconocidos
Al momento de escribir este artículo, los operadores detrás de Dark Pink siguen siendo desconocidos. Sin embargo, Group-IB dijo en la publicación antes mencionada que «una combinación de actores de amenazas de estados nacionales de China, Corea del Norte, Irán y Pakistán» se ha relacionado con los ataques APT en los países de ‘Asia Pacífico’. Pero se notó que parece que Dark Pink apareció a mediados de 2021, con un aumento en la actividad a mediados de 2022.
Group-IB también señaló que el propósito de estos ataques es a menudo cometer espionaje, en lugar de obtener una ganancia financiera.
El grupo APT Dark Pink permanece activo
En su publicación de blog, Group-IB informó a los lectores que al momento de escribir (11 de enero de 2023), el grupo APT Dark Pink permanece activo. Como los ataques solo terminaron a fines de 2022, Group-IB todavía está investigando el problema y determinando su alcance.
La compañía espera descubrir a los operadores de estos ataques y dijo en su publicación de blog que la investigación preliminar realizada sobre el incidente debería «recorrer un largo camino para crear conciencia sobre los nuevos TTP utilizados por este actor de amenazas y ayudar a las organizaciones a tomar las medidas apropiadas». . medidas para protegerse contra un ataque APT potencialmente devastador».
Los grupos APT son una gran amenaza para la seguridad
Los grupos de amenazas persistentes avanzadas (APT) representan un gran riesgo para las organizaciones de todo el mundo. A medida que los métodos de ciberdelincuencia continúan aumentando en su sofisticación, no está claro qué tipo de ataque lanzarán los grupos APT a continuación y qué consecuencias tendrá esto en el objetivo.
