根据IB集团的Albert Priego进行的最新研究，亚太地区的政府和军事组织正成为一个先前未知的高级持续威胁（APT）行为者的目标

总部位于新加坡的IB集团在与《黑客新闻》分享的一份报告中表示，该集团正在追踪以“暗粉”（Dark Pink）为名进行的活动，并将2022年6月至12月期间的七次成功攻击归因于这场敌对集体。

大部分袭击都针对柬埔寨、印度尼西亚、马来西亚、菲律宾、越南和波斯尼亚和黑塞哥维那的军事机构、政府部委和机构以及宗教和非营利组织，据报道，有一次入侵是针对一个不具名的驻越南的欧洲国家发展机构，但没有成功。

据估计，这一威胁行为体早在21年年中就开始了行动，尽管攻击仅在一年后就加剧了，攻击使用的是一种前所未有的定制工具包，旨在从受损网络中掠夺有价值的信息。

IB集团研究人员安德烈·波洛维金（Andrey Polovinkin）表示：“暗粉APT的主要目标是进行企业间谍活动、窃取文件、从受感染设备的麦克风中捕捉声音，并从信使中过滤数据。”

IB集团告诉《黑客新闻》，没有足够的数据明确将威胁行为人归因于某个特定国家，但注意到，考虑到已确定受害者的地理位置，这很可能来自亚太地区。

除了其复杂的恶意软件库外，该组织还利用矛式钓鱼电子邮件发起攻击，以及用于指挥和控制（C2）通信的Telegram API。

另一个值得注意的是，使用一个GitHub帐户托管恶意模块，该帐户自2021 5月以来一直处于活动状态，这表明暗粉色可以在1.5年多的时间内运行而不会被检测到。

Dark Pink活动进一步突出了采用多个感染链的特点，其中钓鱼消息包含一个指向诱杀ISO图像文件的链接，以激活恶意软件部署过程。在一个例子中，对手假装应聘公关实习。

还有人怀疑，黑客团队可能在搜索招聘板，以定制他们的信息，并增加其社会工程攻击成功的可能性。

最终目标是部署TelePowerBot和KamiKakaBot，它们能够执行通过参与者控制的Telegram机器人发送的命令，此外还可以使用Ctealer和Cucky等定制工具从web浏览器中提取凭据和cookie。

虽然Ctealer是用C/C++编写的，但Cucky是一个.NET程序。另一个自定义恶意软件是ZMsg，这是一个基于.NET的应用程序，允许Dark Pink获取通过Telegram、Viver和Zalo等消息应用程序发送的消息。

IB组确定的另一条杀链利用ISO文件中包含的诱饵文档从GitHub中检索一个启用了恶意宏的恶意模板，而GitHub又包含一个PowerShell脚本恶意软件TelePowerBot。

这还不是全部。最近在2022年12月发现的第三种方法是，借助于一个包含MSBuild项目的XML文件，推出了TelePowerBot的.NET版本KamiKakaBot，该项目位于加密视图中Word文档的末尾。Word文件存在于通过鱼叉式网络钓鱼电子邮件发送给受害者的ISO图像中。

Polovinkin解释道：“这一波攻击背后的威胁行为者能够用几种编程语言制作工具，在他们试图破坏防御基础设施并在受害者网络上获得持久性时，给予他们灵活性。”。

成功的妥协之后是侦察、横向移动和数据过滤活动，在某些情况下，参与者还使用Dropbox和电子邮件传输感兴趣的文件。该恶意软件除了通过Windows Steps Recorder工具录制麦克风音频外，还负责截屏并感染连接的USB磁盘以传播TelePowerBot。

Polovinkin说：“使用几乎完全定制的工具包、先进的规避技术、威胁行为者修改其恶意软件以确保最大有效性的能力，以及目标组织的概况，都表明了这一特定群体构成的威胁。”。