Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Dark Pink APT Group apunta a gobiernos y militares en la región APAC
  • Tecnología

Dark Pink APT Group apunta a gobiernos y militares en la región APAC

teknomers 11 de Ocak de 2023 (Last updated: 11 de Ocak de 2023) 4 minutes read
Dark Pink APT Group apunta a gobiernos y militares en


11 de enero de 2023Ravie LakshmanánAmenaza Persistente Avanzada

Las organizaciones gubernamentales y militares en la región de Asia Pacífico están siendo atacadas por un actor de amenazas persistentes avanzadas (APT) previamente desconocido, según las últimas investigaciones.

Group-IB, con sede en Singapur, en un informe compartido con The Hacker News, dijo que está rastreando la campaña en curso bajo el nombre Rosa oscuro y atribuyó siete ataques exitosos al colectivo adversario entre junio y diciembre de 2022.

La mayor parte de los ataques se han centrado en cuerpos militares, ministerios y agencias gubernamentales, y organizaciones religiosas y sin fines de lucro en Camboya, Indonesia, Malasia, Filipinas, Vietnam y Bosnia y Herzegovina, con una intrusión fallida reportada contra un desarrollo estatal europeo no identificado. organismo con sede en Vietnam.

Se estima que el actor de amenazas comenzó sus operaciones a mediados de 2021, aunque los ataques aumentaron solo un año después utilizando un conjunto de herramientas personalizado nunca antes visto diseñado para saquear información valiosa de las redes comprometidas.

“Los objetivos principales de Dark Pink APT son realizar espionaje corporativo, robar documentos, capturar el sonido de los micrófonos de los dispositivos infectados y extraer datos de los mensajeros”, dijo el investigador del Grupo-IB Andrey Polovinkin, describiendo la actividad como una “campaña APT altamente compleja”. lanzado por actores de amenazas experimentados”.

Además de su sofisticado arsenal de malware, se ha observado que el grupo aprovecha los correos electrónicos de phishing para iniciar sus ataques, así como la API de Telegram para las comunicaciones de comando y control (C2).

También es notable el uso de una sola cuenta de GitHub para alojar módulos maliciosos y que ha estado activa desde mayo de 2021, lo que sugiere que Dark Pink ha podido operar sin ser detectado durante más de 1,5 años.

La campaña Dark Pink se destaca además por emplear múltiples cadenas de infección, en las que los mensajes de phishing contienen un enlace a un archivo de imagen ISO con una trampa explosiva para activar el proceso de implementación de malware. En un caso, el adversario se hizo pasar por un candidato que solicitaba una pasantía de relaciones públicas.

También se sospecha que el equipo de piratería puede estar rastreando bolsas de trabajo para adaptar sus mensajes y aumentar la probabilidad de éxito de sus ataques de ingeniería social.

El objetivo final es implementar TelePowerBot y KamiKakaBot, que son capaces de ejecutar comandos enviados a través de un bot de Telegram controlado por un actor, además de usar herramientas personalizadas como Ctealer y Cucky para extraer credenciales y cookies de los navegadores web.

Mientras que Ctealer está escrito en C/C++, Cucky es un programa .NET. Otro malware personalizado es ZMsg, una aplicación basada en .NET que permite a Dark Pink recopilar mensajes enviados a través de aplicaciones de mensajería como Telegram, Viver y Zalo.

Una cadena de eliminación alternativa identificada por Group-IB utiliza un documento señuelo incluido en el archivo ISO para recuperar una plantilla maliciosa habilitada para macros de GitHub, que, a su vez, alberga TelePowerBot, un malware de script de PowerShell.

Eso no es todo. Un tercer método detectado recientemente en diciembre de 2022 ve el lanzamiento de KamiKakaBot, una versión .NET de TelePowerBot, con la ayuda de un archivo XML que contiene un proyecto de MSBuild que se encuentra al final de un documento de Word en vista cifrada. El archivo de Word está presente en una imagen ISO enviada a la víctima en un correo electrónico de phishing.

“Los actores de amenazas detrás de esta ola de ataques pudieron crear sus herramientas en varios lenguajes de programación, dándoles flexibilidad mientras intentaban violar la infraestructura de defensa y ganar persistencia en las redes de las víctimas”, explicó Polovinkin.

A un compromiso exitoso le siguen actividades de reconocimiento, movimiento lateral y exfiltración de datos, y el actor también usa Dropbox y el correo electrónico en algunos casos para transmitir archivos de interés. También se emplea un módulo PowerSploit disponible públicamente para grabar el audio del micrófono en los dispositivos, además de ejecutar comandos para infectar los discos USB adjuntos para propagar el malware.

“El uso de un conjunto de herramientas casi completamente personalizado, técnicas de evasión avanzadas, la capacidad de los actores de amenazas para modificar su malware para garantizar la máxima eficacia y el perfil de las organizaciones objetivo demuestran la amenaza que representa este grupo en particular”, dijo Polovinkin.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Así eliges unos jeans que te levantan el trasero: destacan dos cosas
Next: LVMH anuncia cambios de liderazgo en Louis Vuitton y Christian Dior Couture

Related Stories

PS5, PS6: la muerte anunciada del disco en 2028 es
  • Tecnología

PS5, PS6: la muerte anunciada del disco en 2028 es una muy mala noticia para los jugadores

teknomers 3 de Temmuz de 2026
La Rowenta X-Clean 5 aspira y lava en un solo
  • Tecnología

La Rowenta X-Clean 5 aspira y lava en un solo paso, además cuenta con secado calentado, está en oferta a 249,99 €

teknomers 2 de Temmuz de 2026
Malas noticias para los suscriptores de Deezer: esta oferta lo
  • Tecnología

Malas noticias para los suscriptores de Deezer: esta oferta lo cambiará todo

teknomers 2 de Temmuz de 2026

You May Have Missed

  • Deporte

Copa Mundial T20: Cómo el trabajo duro y una chaqueta de disco ayudaron a Inglaterra a mejorar su fildeo

teknomers 3 de Temmuz de 2026
  • General

Lección de Vida: Cita del día de Denzel Washington: ‘Mi fe me ayuda a entender que las circunstancias no dictan mi felicidad, mi paz interior’ ofrece consejos sobre cómo encontrar la felicidad en medio del caos y enfrentar los desafíos con coraje para superar las fases difíciles.

teknomers 3 de Temmuz de 2026
  • Deporte

Boxeo: Tony Yoka se retira de su combate por el título mundial WBA frente a Gassiev

teknomers 3 de Temmuz de 2026
  • Cultura

Ópera de París: las obras de modernización del escenario del Palais Garnier se extenderán de 2027 a 2032.

teknomers 3 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.