Promethium APT

Nhóm hack Promethium là APT (Mối đe dọa liên tục nâng cao) được biết đến nhiều nhất với bộ công cụ phần mềm gián điệp có tên StrongPity. Một số nhà phân tích phần mềm độc hại thậm chí còn gọi nhóm Promethium là StrongPity APT. Nhóm hack Promethium chủ yếu nhắm vào các chính trị gia cấp cao, quan chức quân đội và các tổ chức chính trị. Hầu hết các chiến dịch của Promethium APT đều tập trung ở Syria và Thổ Nhĩ Kỳ, nhưng họ cũng được biết là đã thực hiện các chiến dịch chống lại các mục tiêu nằm ở Ý và Bỉ.

Nhóm hack Promethium đã lọt vào tầm ngắm của các nhà nghiên cứu phần mềm độc hại từ năm 2012 và trong suốt nhiều năm, họ đã giới thiệu nhiều bản cập nhật cho các dự án của mình. Theo các nhà phân tích, Promethium APT gần đây đã thiết lập hơn 30 máy chủ C&C (Command & Control) hoàn toàn mới, giúp mở rộng đáng kể cơ sở hạ tầng của họ. Các máy chủ C&C mới dường như được sử dụng cùng với bộ công cụ phần mềm gián điệp khét tiếng StrongPity , hay cụ thể là StrongPity3 - biến thể mới nhất của mối đe dọa. Ngoài việc cập nhật bộ công cụ phổ biến nhất và cải thiện cơ sở hạ tầng, nhóm hack Promethium cũng đã mở rộng phạm vi hoạt động của mình bằng cách nhắm mục tiêu các khu vực mới. Các chuyên gia an ninh lưu ý rằng Promethium APT đã thực hiện các chiến dịch truy lùng các mục tiêu ở Canada, Ấn Độ, Colombia và Việt Nam. Nhóm hack Promethium dường như sử dụng các bản sao không có thật của các ứng dụng phổ biến làm véc tơ lây nhiễm trong dự án mới nhất của họ. Những kẻ tấn công đã sử dụng các bản sao giả mạo của các phần mềm phổ biến như VPNPro, Mozilla Firefox, 5kPlayer và DriverPack.

Promethium APT đã hoạt động hơn tám năm và đảm bảo duy trì tính phù hợp bằng cách áp dụng các bản cập nhật thường xuyên cho kho vũ khí tấn công của mình và cải thiện cơ sở hạ tầng mà nó sử dụng để thực hiện các cuộc tấn công.