Dark Pink, noto anche come Saaiwc Group, emerge di nuovo dalla scena delle minacce informatiche con cinque nuovi attacchi che hanno colpito vari enti in Belgio, Brunei, Indonesia, Thailandia e Vietnam tra febbraio 2022 e aprile 2023.
Il Protagonista di una Cyber Guerra Silenziosa
Il gruppo Dark Pink si distingue per la sua persistenza avanzata nelle minacce (APT) e si crede sia di origine asiatico-pacifica, con attacchi mirati principalmente a entità situate in Estremo Oriente e, in misura minore, in Europa. Questa serie di attacchi mette in luce l’insistente concentrazione del gruppo su obiettivi ad alto valore.
Strumenti e Tattiche di Attacco
Dark Pink utilizza una serie di strumenti malware personalizzati come TelePowerBot e KamiKakaBot che forniscono diverse funzionalità per esfiltrare dati sensibili da host compromessi. Le scoperte mostrano modifiche significative alla sequenza di attacco di Dark Pink per ostacolare l’analisi e per accogliere miglioramenti a KamiKakaBot, che esegue comandi da un canale Telegram controllato dal minacciatore attraverso un bot Telegram.
Gli Aggiornamenti di Dark Pink
L’ultima versione si distingue per la divisione delle sue funzionalità in due parti distinte: una per il controllo dei dispositivi e l’altra per la raccolta di informazioni preziose. Inoltre, è stato identificato un nuovo account GitHub associato all’account che contiene script PowerShell, archivi ZIP e malware personalizzati.
Le Motivazioni di Dark Pink Restano un Mistero
Nonostante le sue motivazioni siano chiaramente legate all’attività di spionaggio, il gruppo Dark Pink rimane avvolto nel mistero. Tuttavia, si sospetta che l’impronta della vittimologia della crew di hacker possa essere più ampia di quanto si pensasse in precedenza.