Promethium APT

Le groupe de piratage Promethium est un APT (Advanced Persistent Threat) qui est surtout connu pour la boîte à outils de logiciels espions appelée StrongPity. Certains analystes de logiciels malveillants se réfèrent même au groupe Promethium sous le nom de StrongPity APT. Le groupe de piratage Promethium semble cibler principalement les politiciens de haut rang, les responsables militaires et les organisations politiques. La plupart des campagnes de Promethium APT sont concentrées en Syrie et en Turquie, mais ils sont également connus pour avoir mené des campagnes contre des cibles situées en Italie et en Belgique.

Le groupe de piratage Promethium est sur le radar des chercheurs en logiciels malveillants depuis 2012, et au fil des ans, ils ont introduit de nombreuses mises à jour de leurs projets. Selon les analystes, le Promethium APT a récemment mis en place plus de 30 nouveaux serveurs C&C (Command & Control), ce qui étend considérablement son infrastructure. Les nouveaux serveurs C&C semblent être utilisés avec la tristement célèbre boîte à outils de logiciels espions StrongPity, ou à savoir StrongPity3 - la nouvelle variante de la menace. Outre la mise à jour de sa boîte à outils la plus populaire et l'amélioration de son infrastructure, le groupe de piratage Promethium a également élargi sa portée en ciblant de nouvelles régions. Les experts en sécurité ont noté que le Promethium APT a lancé des campagnes visant des cibles situées au Canada, en Inde, en Colombie et au Vietnam. Le groupe de piratage Promethium semble utiliser de fausses copies d'applications populaires comme vecteur d'infection dans son dernier projet. Les attaquants ont utilisé de fausses copies de logiciels populaires tels que VPNPro, Mozilla Firefox, 5kPlayer et DriverPack.

Le Promethium APT est actif depuis plus de huit ans et s'est assuré de rester pertinent en appliquant des mises à jour régulières à son arsenal de piratage et en améliorant l'infrastructure qu'il utilise pour mener ses attaques.