Home Ciberguerra Una nueva APT ataca a Asia-Pacífico y Europa, con tácticas de spear...

Una nueva APT ataca a Asia-Pacífico y Europa, con tácticas de spear phishing

Un nuevo grupo de amenazas persistentes avanzadas (APT) apodado “Dark Pink” por Group-IB (y “Saaiwc Group” por los investigadores chinos de ciberseguridad) ha sido descubierto atacando varias entidades en Asia-Pacífico y Europa, principalmente con técnicas de spear phishing.

Según un nuevo aviso publicado por Group-IB, Dark Pink comenzó a operar a mediados de 2021, aunque la actividad del grupo aumentó considerablemente entre mediados y finales de 2022.

“Hasta la fecha, hemos descubierto siete ataques confirmados de Dark Pink”, dice el informe técnico. “La mayor parte de los ataques se llevaron a cabo contra países de la región APAC, aunque los actores de la amenaza extendieron sus alas y tuvieron como objetivo un ministerio gubernamental europeo”.

Más concretamente, Group-IB identificó dos entidades militares en Filipinas y Malasia, una organización religiosa en Vietnam y organismos gubernamentales en Camboya, Indonesia y Bosnia-Herzegovina.

Los expertos en seguridad también detectaron un ataque fallido contra una agencia de desarrollo estatal europea con sede en Vietnam.

“Las primeras investigaciones de Group-IB sobre Dark Pink han revelado que estos actores de amenazas están utilizando un nuevo conjunto de tácticas, técnicas y procedimientos raramente utilizados por grupos APT previamente conocidos”, se lee en el aviso.

Entre ellas se incluye un conjunto de herramientas personalizadas que incluyen TelePowerBot, KamiKakaBot y los ladrones de información Cucky y Ctealer. Además, Dark Pink también puede infectar dispositivos USB conectados a ordenadores infectados.

“Los actores de la amenaza Dark Pink utilizan dos técnicas principales: DLL Side-Loading y la ejecución de contenido malicioso desencadenado por una asociación de tipo de archivo […] La última de estas tácticas es una que rara vez se ve utilizada en la naturaleza por los actores de amenazas”, explicó Group-IB.

El equipo de seguridad también añadió que los actores de la amenaza habían creado un conjunto de scripts de PowerShell para las comunicaciones entre las víctimas y la infraestructura de los actores de la amenaza y utilizaban la API de Telegram para todas las comunicaciones entre ellos y la infraestructura infectada.

“Los actores de la amenaza detrás de Dark Pink fueron capaces, con la ayuda de su conjunto de herramientas personalizadas, de violar las defensas de los organismos gubernamentales y militares en una serie de países en las regiones de APAC y Europa”, escribió Group-IB.