Promethium APT

De Promethium-hackgroep is een APT (Advanced Persistent Threat) die vooral bekend is vanwege de spyware-toolkit StrongPity. Sommige malware-analisten noemen de Promethium-groep zelfs StrongPity APT. De hackgroep Promethium lijkt zich vooral te richten op hooggeplaatste politici, militaire functionarissen en politieke organisaties. De meeste campagnes van Promethium APT zijn geconcentreerd in Syrië en Turkije, maar het is ook bekend dat ze campagnes hebben uitgevoerd tegen doelen in Italië en België.

De hackgroep Promethium staat sinds 2012 op de radar van malwareonderzoekers en heeft door de jaren heen veel updates voor hun projecten geïntroduceerd. Volgens analisten heeft de Promethium APT de laatste tijd meer dan 30 gloednieuwe C&C (Command & Control) servers opgezet, wat hun infrastructuur enorm uitbreidt. De nieuwe C&C-servers lijken te worden gebruikt in combinatie met de beruchte StrongPity spyware-toolkit, of namelijk StrongPity3 – de nieuwste variant van de dreiging. Naast het updaten van de meest populaire toolkit en het verbeteren van de infrastructuur, heeft de Promethium-hackgroep ook haar bereik uitgebreid door zich op nieuwe regio's te richten. Beveiligingsexperts hebben opgemerkt dat de Promethium APT campagnes heeft gelanceerd die zich richten op doelen in Canada, India, Colombia en Vietnam. De Promethium-hackgroep lijkt nepkopieën van populaire applicaties te gebruiken als infectievector in hun nieuwste project. De aanvallers hebben valse kopieën van populaire software gebruikt, zoals VPNPro, Mozilla Firefox, 5kPlayer en DriverPack.

De Promethium APT is al meer dan acht jaar actief en heeft ervoor gezorgd dat het relevant blijft door regelmatig updates toe te passen op zijn hackarsenaal en de infrastructuur te verbeteren die het gebruikt om zijn aanvallen uit te voeren.