
Le groupe de piratage Dark Pink APT continue d’être très actif en 2023, observé ciblant des organisations gouvernementales, militaires et éducatives en Indonésie, au Brunei et au Vietnam.
Le groupe de menaces est actif depuis au moins la mi-2021, ciblant principalement des entités de la région Asie-Pacifique, mais il a été exposé pour la première fois en janvier 2023 par un rapport du Group-IB.
Les chercheurs rapportent qu’après avoir analysé les signes d’activités antérieures de l’acteur menaçant, ils ont maintenant découvert des violations supplémentaires contre un institut d’enseignement en Belgique et un corps militaire en Thaïlande.

Malgré l’exposition précédente de Group-IB, Dark Pink n’a montré aucun signe de ralentissement, et la société affirme avoir identifié au moins cinq attaques perpétrées par le groupe à la suite de la publication du rapport précédent.
Lors des récentes attaques, Dark Pink a présenté une chaîne d’attaque remaniée, mis en œuvre différents mécanismes de persistance et déployé de nouveaux outils d’exfiltration de données, tentant probablement d’esquiver la détection en éloignant leurs opérations des IoC accessibles au public (indicateurs de compromission).
Infiltration et mouvement latéral
Les attaques de Dark Pink continuent de s’appuyer sur les archives ISO envoyées par harponnage pour l’infection initiale, qui utilise le chargement latéral de DLL pour lancer ses portes dérobées, « TelePowerBot » et « KamiKakaBot ».

Un nouvel élément est que les attaquants ont maintenant divisé les fonctionnalités de KamiKakaBot en deux parties, à savoir le contrôle des appareils et le vol de données.
De plus, l’implant est maintenant chargé à partir de la mémoire, sans jamais toucher le disque. Cela permet d’échapper à la détection car les outils antivirus ne surveillent pas les processus qui se lancent en mémoire.
KamiKakaBot continue de cibler les données stockées dans les navigateurs Web et les envoie aux attaquants via Telegram. De plus, la porte dérobée peut télécharger et exécuter des scripts arbitraires sur l’appareil piraté.
Group-IB a découvert que Dark Pink utilise un référentiel GitHub privé pour héberger des modules supplémentaires téléchargés par son logiciel malveillant sur des systèmes compromis.
Les acteurs de la menace n’ont effectué que 12 commits sur ce référentiel tout au long de 2023, principalement pour ajouter ou mettre à jour des droppers de logiciels malveillants, des scripts PowerShell, le voleur d’informations ZMsg et l’outil d’escalade de privilèges Netlua.

L’un de ces scripts PowerShell est essentiel à la stratégie de mouvement latéral de Dark Pink, aidant à identifier et interagir avec les partages SMB au sein du réseau.
Le script récupère une archive ZIP à partir de GitHub, l’enregistre dans un répertoire local, puis crée des fichiers LNK sur chaque partage SMB lié à l’exécutable malveillant dans l’archive.
Lorsque ces fichiers LNK sont ouverts, ils lancent l’exécutable malveillant, favorisant la propagation de Dark Pink sur le réseau et étendant leur portée à des systèmes supplémentaires.
Dark Pink utilise également des commandes PowerShell pour effectuer des vérifications de la présence de logiciels et d’outils de développement légitimes sur l’appareil compromis dont ils peuvent abuser pour leurs opérations.
Ces outils incluent « AccCheckConsole.exe », « remote.exe », « Extexport.exe », « MSPUB.exe » et « MSOHTMED.exe », qui peuvent être exploités pour l’exécution de proxy, le téléchargement de charges utiles supplémentaires, etc.
Cependant, Group-IB note qu’il n’a pas vu d’exemples d’abus de ces outils dans les attaques observées.

Nouvelles tactiques de vol de données
Group-IB rapporte que Dark Pink fait maintenant preuve de variété dans sa méthode d’exfiltration de données, allant au-delà de l’envoi d’archives ZIP aux chaînes Telegram.
Dans certains cas vus par les analystes, les attaquants ont utilisé des téléchargements DropBox, tandis que dans d’autres, ils ont utilisé l’exfiltration HTTP en utilisant un point de terminaison temporaire créé avec le service « Webhook.site » ou des serveurs Windows.
Les scripts mentionnés précédemment offrent également la possibilité d’exfiltrer des données en créant de nouveaux objets WebClient pour télécharger des fichiers vers une adresse externe à l’aide de la méthode PUT après avoir défini l’emplacement des fichiers cibles sur l’ordinateur piraté.
Group-IB conclut que les acteurs de la menace Dark Pink ne sont pas découragés par leur exposition précédente et qu’il est peu probable qu’ils s’arrêtent maintenant.
Très probablement, les attaquants continueront à mettre à jour leurs outils et à diversifier leurs méthodes autant que possible.