Pelaku ancaman persisten tingkat lanjut (APT) yang dikenal sebagai Tim Tonto melakukan serangan yang gagal terhadap perusahaan keamanan siber Group-IB pada Juni 2022.
Perusahaan yang berkantor pusat di Singapura itu mengatakan bahwa mereka mendeteksi dan memblokir email phishing berbahaya yang berasal dari grup yang menargetkan karyawannya. Itu juga merupakan serangan kedua yang ditujukan ke Grup-IB, yang pertama terjadi pada Maret 2021.
Tim Tonto, juga disebut Bronze Huntley, Cactus Pete, Earth Akhlut, Karma Panda, dan UAC-0018, adalah kelompok peretas Cina yang diduga telah dikaitkan dengan serangan yang menargetkan berbagai organisasi di Asia dan Eropa Timur.
Aktor ini diketahui aktif setidaknya sejak tahun 2009 dan dikatakan memiliki hubungan dengan Departemen Ketiga (3PLA) Shenyang TRB Tentara Pembebasan Rakyat (Unit 65016).
Rantai serangan melibatkan umpan spear-phishing yang berisi lampiran berbahaya yang dibuat menggunakan perangkat eksploitasi Royal Road Rich Text Format (RTF) untuk menjatuhkan pintu belakang seperti Bisonal, Dexbia, dan ShadowPad (alias PoisonPlug).
“Metode yang sedikit berbeda […] yang digunakan oleh pelaku ancaman ini di alam liar adalah penggunaan alamat email perusahaan yang sah, kemungkinan besar diperoleh dengan phishing, untuk mengirim email ke pengguna lain,” ungkap Trend Micro pada tahun 2020. “Penggunaannya dari email yang sah ini meningkatkan kemungkinan korban mengklik lampiran, menginfeksi mesin mereka dengan malware.”
Selengkapnya: The Hacker News
