Las organizaciones gubernamentales y militares en la región de Asia y el Pacífico están siendo atacadas por un actor de amenaza persistente avanzada (APT) previamente desconocido, según la última investigación realizada por Albert Priego, Analista de Malware en Group-IB.
La mayor parte de los ataques han señalado a organismos militares, ministerios y agencias gubernamentales y organizaciones religiosas y sin fines de lucro en Camboya, Indonesia, Malasia, Filipinas, Vietnam y Bosnia y Herzegovina, con una intrusión infructuosa reportada contra un organismo de desarrollo estatal europeo no identificado con sede en Vietnam.
Se estima que el actor de amenazas comenzó sus operaciones a mediados de 2021, aunque los ataques aumentaron solo un año después utilizando un kit de herramientas personalizado nunca antes visto diseñado para obtener información valiosa de las redes comprometidas.
«Los objetivos principales de Dark Pink son realizar espionaje corporativo, robar documentos, capturar el sonido de los micrófonos de los dispositivos infectados y filtrar datos de mensajeros«, dijo el investigador del Grupo-IB Andrey Polovikin, describiendo la actividad como una «campaña APT altamente compleja lanzada por actores de amenazas experimentados«.
Además de su sofisticado arsenal de malware, se ha observado que el grupo aprovecha los correos electrónicos de spear-phishing para iniciar sus ataques, así como la API de Telegram para comunicaciones de comando y control (C2).
También es notable el uso de una sola cuenta de GitHub para alojar módulos maliciosos y que ha estado activa desde mayo de 2021, lo que sugiere que Dark Pink ha podido operar sin ser detectado durante más de 1.5 años.
La campaña Dark Pink se destaca además por emplear múltiples cadenas de infección, en las que los mensajes de phishing contienen un enlace a un archivo de imagen ISO con trampas explosivas para activar el proceso de implementación de malware. En un caso, el adversario se hizo pasar por un candidato que solicitaba una pasantía de relaciones públicas.
También se sospecha que el equipo de piratería puede estar rastreando bolsas de trabajo para adaptar sus mensajes y aumentar la probabilidad de éxito de sus ataques de ingeniería social.
El objetivo final es implementar TelePowerBot y KamiKakaBot, que son capaces de ejecutar comandos enviados a través de un bot de Telegram controlado por actores, además de usar herramientas a medida como Ctealer y Cucky para desviar credenciales y cookies de los navegadores web.
Mientras que Ctealer está escrito en C/C++, Cucky es un programa basado en .NET. Otro malware personalizado es ZMsg, un archivo. Aplicación basada en .NET que permite a Dark Pink recolectar mensajes enviados a través de aplicaciones de mensajería como Telegram, Viver y Zalo.
Una cadena de eliminación alternativa identificada por Group-IB utiliza un documento señuelo incluido en el archivo ISO para recuperar una plantilla habilitada para macros no autorizada de GitHub, que, a su vez, alberga TelePowerBot, un malware de script de PowerShell.
Eso no es todo. Un tercer método detectado recientemente en diciembre de 2022 ve el lanzamiento de KamiKakaBot, una versión .NET de TelePowerBot, con la ayuda de un archivo XML que contiene un proyecto MSBuild que se encuentra al final de un documento de Word en vista cifrada. El archivo de Word está presente en una imagen ISO enviada a la víctima en un correo electrónico de spear-phishing.
«Los actores de amenazas detrás de esta ola de ataques pudieron crear sus herramientas en varios lenguajes de programación, dándoles flexibilidad mientras intentaban violar la infraestructura de defensa y ganar persistencia en las redes de las víctimas«, explicó Polovinkin.
Un sistema comprometido con éxito es seguido por actividades de reconocimiento, movimiento lateral y exfiltración de datos, con el actor también usando Dropbox y correo electrónico en algunos casos para transmitir archivos de interés. El malware, además de grabar el audio del micrófono a través de la herramienta Windows Steps Recorder, tiene la tarea de tomar capturas de pantalla e infectar discos USB conectados para propagar TelePowerBot.
«El uso de un conjunto de herramientas casi completamente personalizado, técnicas avanzadas de evasión, la capacidad de los actores de amenazas para reelaborar su malware para garantizar la máxima efectividad y el perfil de las organizaciones objetivo demuestran la amenaza que representa este grupo en particular«, dijo Polovikinkin.
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
