Promethium APT

Promethium-hakkerointiryhmä on APT (Advanced Persistent Threat), joka tunnetaan parhaiten StrongPity-nimisestä vakoiluohjelmista. Jotkut haittaohjelmaanalyytikot jopa kutsuvat Promethium-ryhmää nimellä StrongPity APT. Promethium-hakkerointiryhmä näyttää kohdistuvan pääasiassa korkea-arvoisiin poliitikkoihin, sotilasviranomaisiin ja poliittisiin organisaatioihin. Suurin osa Promethium APT:n kampanjoista on keskittynyt Syyriaan ja Turkkiin, mutta niiden tiedetään myös toteuttaneen kampanjoita Italiassa ja Belgiassa sijaitsevia kohteita vastaan.

Promethium-hakkerointiryhmä on ollut haittaohjelmien tutkijoiden tutkalla vuodesta 2012, ja vuosien varrella he ovat tuoneet projekteihinsa monia päivityksiä. Analyytikkojen mukaan Promethium APT on asettanut äskettäin yli 30 upouutta C&C (Command & Control) -palvelinta, mikä laajentaa huomattavasti niiden infrastruktuuria. Uusia C&C-palvelimia näyttää käytettävän surullisen StrongPity- spyware-työkalupaketin tai StrongPity3:n kanssa – uhan uusimman muunnelman kanssa. Sen lisäksi, että Promethium-hakkerointiryhmä on päivittänyt suosituimman työkalusarjansa ja parantanut infrastruktuuriaan, se on myös laajentanut kattavuuttaan kohdentamalla uusia alueita. Turvallisuusasiantuntijat ovat havainneet, että Promethium APT on käynnistänyt kampanjoita, jotka menevät Kanadassa, Intiassa, Kolumbiassa ja Vietnamissa sijaitsevien kohteiden jälkeen. Promethium-hakkerointiryhmä näyttää käyttävän suosittujen sovellusten vääriä kopioita tartuntavektorina uusimmassa projektissaan. Hyökkääjät ovat käyttäneet väärennettyjä kopioita suosituista ohjelmistoista, kuten VPNPro, Mozilla Firefox, 5kPlayer ja DriverPack.

Promethium APT on ollut aktiivinen yli kahdeksan vuoden ajan ja on varmistanut pysyvänsä ajantasaisena päivittämällä säännöllisesti hakkerointiarsenaaliinsa ja parantamalla hyökkäysten suorittamiseen käytettävää infrastruktuuria.