Los investigadores de Bitdefender han publicado un informe sobre el malware StrongPity, que implementa versiones maliciosas de software legítimo para comprometer a sus objetivos. El grupo StrongPity APT (Amenazas Persistentes Avanzadas), también conocido como Promethium, lleva activo desde al menos 2012 con el objetivo de espiar a sus víctimas y obtener todo tipo de datos.

La información sobre los primeros ataques data de 2016 en Bélgica e Italia, pero en 2018 los ciberdelincuentes cambiaron de zona geográfica y atacaron a cientos de usuarios en Turquía y Siria.

Su principal estrategia de ataque es la técnica de ‘watering-hole’, que implementa versiones maliciosas de instaladores legítimos a determinados objetivos. Para ello utiliza herramientas populares legítimas que se han troyanizado.

Además de las configuraciones técnicas de los servidores de comando y control, los investigadores de Bitdefender han obtenido una aproximación al perfil de las víctimas. La mayoría de los objetivos se encuentran en dos regiones de Turquía: Estambul y el área cercana a la frontera con Siria. Mediante la táctica de watering-hole, StrongPity se dirige selectivamente a sus víctimas en estas regiones mediante una lista de IP definida. Según los datos obtenidos, el atacante está interesado especialmente en la comunidad kurda, situando esta amenaza en el contexto geopolítico de los constantes conflictos entre Turquía y la comunidad kurda.