Le nouveau groupe APT rose foncé cible le gouvernement et l’armée en Asie-Pacifique

Un nouveau groupe APT nommé Dark Pink a ciblé des organismes militaires et gouvernementaux dans de nombreux pays d’Asie-Pacifique pour extraire une documentation précieuse.

Le groupe APT rose foncé vise l’armée et le gouvernement

Une série d’attaques de menace persistante avancée (APT) a été lancée par un groupe connu sous le nom de Dark Pink entre juin et décembre 2022. Les attaques ont été lancées contre plusieurs pays de l’Asie-Pacifique, dont le Cambodge, le Vietnam, la Malaisie, l’Indonésie, et les Philippines. Un pays européen, la Bosnie-Herzégovine, a également été visé.

Les attaques Dark Pink ont ​​été découvertes pour la première fois par Albert Priego, un analyste de logiciels malveillants de Group-IB. Dans un article de blog de Group-IB concernant les incidents , il a été déclaré que les opérateurs malveillants de Dark Pink « exploitent un nouvel ensemble de tactiques, de techniques et de procédures rarement utilisées par les groupes APT connus auparavant ». a écrit sur une boîte à outils personnalisée comprenant quatre voleurs d’informations différents : TelePowerBot, KamiKakaBot, Cucky et Ctealer.

Ces voleurs d’informations sont utilisés par Dark Pink pour extraire des documents précieux stockés au sein des réseaux gouvernementaux et militaires.

Le vecteur initial des attaques de Dark Pink aurait été des campagnes de phishing, dans lesquelles les opérateurs se feraient passer pour des candidats à un emploi. Group-IB a également noté que Dark Pink a la capacité d’infecter les périphériques USB connectés aux ordinateurs compromis. De plus, Dark Pink peut accéder aux messagers installés sur les ordinateurs infectés.

Group-IB a partagé une infographie sur les attaques de Dark Pink sur sa page Twitter, comme indiqué ci-dessous.

Alors que la plupart des attaques ont eu lieu au Vietnam (dont une a échoué), un total de cinq attaques supplémentaires ont également eu lieu dans d’autres pays.

Les opérateurs de Dark Pink sont actuellement inconnus

Au moment d’écrire ces lignes, les opérateurs derrière Dark Pink restent inconnus. Cependant, Group-IB a déclaré dans le message susmentionné qu' »un mélange d’acteurs de la menace d’États-nations de Chine, de Corée du Nord, d’Iran et du Pakistan » a été lié aux attaques APT dans les pays d’Asie-Pacifique. Mais il a été noté qu’il semble que Dark Pink soit apparu dès la mi-2021, avec une augmentation de l’activité à la mi-2022.

Group-IB a également noté que le but de ces attaques est souvent de commettre de l’espionnage, plutôt que d’en tirer un profit financier.

Le groupe Dark Pink APT reste actif

Dans son article de blog, Group-IB a informé les lecteurs qu’au moment de la rédaction (11 janvier 2023), le groupe Dark Pink APT reste actif. Comme les attaques n’ont pris fin qu’à la fin de 2022, Group-IB enquête toujours sur le problème et détermine sa portée.

La société espère découvrir les opérateurs de ces attaques et a déclaré dans son article de blog que les recherches préliminaires menées sur l’incident devraient « contribuer grandement à faire connaître les nouveaux TTP utilisés par cet acteur menaçant et aider les organisations à prendre les mesures appropriées ». étapes pour se protéger contre une attaque APT potentiellement dévastatrice ».

Les groupes APT constituent une énorme menace pour la sécurité

Les groupes de menaces persistantes avancées (APT) représentent un risque énorme pour les organisations du monde entier. Alors que les méthodes de cybercriminalité continuent d’augmenter dans leur sophistication, on ne sait pas quel type d’attaque les groupes APT lanceront ensuite, et quelles conséquences cela aura sur la cible.