Un nouveau groupe APT nommé Dark Pink a ciblé des organismes militaires et gouvernementaux dans de nombreux pays d'Asie-Pacifique pour extraire une documentation précieuse.
Le groupe APT rose foncé vise l'armée et le gouvernement
Une flopée de attaques de menaces persistantes avancées (APT) a été lancé par un groupe connu sous le nom de Dark Pink entre juin et décembre 2022. Les attaques ont été lancées contre plusieurs pays d'Asie-Pacifique, dont le Cambodge, le Vietnam, la Malaisie, l'Indonésie et les Philippines. Un pays européen, la Bosnie-Herzégovine, a également été visé.
Les attaques Dark Pink ont été découvertes pour la première fois par Albert Priego, un analyste de logiciels malveillants de Group-IB. Dans un Article de blog Group-IB concernant les incidents, il a été déclaré que les opérateurs malveillants de Dark Pink « exploitent un nouvel ensemble de tactiques, de techniques et de procédures rarement utilisées par des Groupes APT." Pour aller plus en détail, Group-IB a décrit une boîte à outils personnalisée comprenant quatre voleurs d'informations différents: TelePowerBot, KamiKakaBot, Cucky et Ctealer.
Ces voleurs d'informations sont utilisés par Dark Pink pour extraire des documents précieux stockés au sein des réseaux gouvernementaux et militaires.
Le vecteur initial des attaques de Dark Pink serait campagnes de harponnage, où les opérateurs usurperaient l'identité des demandeurs d'emploi. Group-IB a également noté que Dark Pink a la capacité d'infecter les périphériques USB connectés aux ordinateurs compromis. De plus, Dark Pink peut accéder aux messagers installés sur les ordinateurs infectés.
Group-IB a partagé une infographie sur les attaques de Dark Pink sur sa page Twitter, comme indiqué ci-dessous.
Alors que la plupart des attaques ont eu lieu au Vietnam (dont une a échoué), un total de cinq attaques supplémentaires ont également eu lieu dans d'autres pays.
Les opérateurs de Dark Pink sont actuellement inconnus
Au moment d'écrire ces lignes, les opérateurs derrière Dark Pink restent inconnus. Cependant, Group-IB a déclaré dans le message susmentionné qu'"un mélange d'acteurs de la menace d'États-nations de Chine, de Corée du Nord, d'Iran et du Pakistan » ont été liés aux attaques de l'APT dans les pays d'Asie-Pacifique. Mais il a été noté qu'il semble que Dark Pink soit apparu dès la mi-2021, avec une augmentation de l'activité à la mi-2022.
Group-IB a également noté que le but de ces attaques est souvent de commettre de l'espionnage, plutôt que d'en tirer un profit financier.
Le groupe Dark Pink APT reste actif
Dans son article de blog, Group-IB a informé les lecteurs qu'au moment de la rédaction (11 janvier 2023), le groupe Dark Pink APT reste actif. Comme les attaques n'ont pris fin qu'à la fin de 2022, Group-IB enquête toujours sur le problème et détermine sa portée.
L'entreprise espère découvrir les opérateurs de ces attaques et a déclaré dans son article de blog que les recherches préliminaires menées sur l'incident devraient « contribuer grandement à sensibiliser aux nouveaux TTP utilisés par cet acteur menaçant et aider les organisations à prendre les mesures nécessaires pour se protéger d'un APT potentiellement dévastateur attaque".
Les groupes APT constituent une énorme menace pour la sécurité
Les groupes de menaces persistantes avancées (APT) représentent un risque énorme pour les organisations du monde entier. Alors que les méthodes de cybercriminalité continuent d'augmenter dans leur sophistication, on ne sait pas quel type d'attaque les groupes APT lanceront ensuite, et quelles conséquences cela aura sur la cible.
