Setelah instalasi, malware akan menghapus file yang digunakan untuk menyebarkan implan DarkMe.
Untuk lebih menghalangi analisis dan mencoba menghindari deteksi, pelaku meningkatkan ukuran file implan dan menghapus jejak lain, seperti file pascaeksploitasi, alat, hingga kunci registri, setelah mencapai tujuan mereka.
Deathstalker, yang sebelumnya dikenal sebagai Decepticons, adalah kelompok pelaku ancaman yang aktif setidaknya sejak 2018, dan mungkin sejak 2012.
Kelompok ini diyakini sebagai kelompok tentara bayaran siber atau peretas bayaran, di mana pelaku ancaman tampaknya memiliki anggota yang kompeten yang mengembangkan perangkat internal, dan memahami ekosistem ancaman persisten yang canggih.
Tujuan utama kelompok ini adalah mengumpulkan informasi bisnis, keuangan, dan pribadi, mungkin untuk tujuan intelijen bisnis atau kompetitor yang melayani klien mereka.
Mereka biasanya menargetkan bisnis kecil dan menengah, keuangan, fintech, firma hukum, dan dalam beberapa kesempatan, entitas pemerintah.
Meskipun mengincar jenis target ini, DeathStalker tidak pernah terlihat melakukan pencurian dana, itulah sebabnya Kaspersky meyakini bahwa kelompok ini merupakan kelompok intelijen swasta.
Kelompok ini juga memiliki kecenderungan untuk mencoba menghindari atribusi aktivitas mereka dengan meniru pelaku APT lain dan memasukkan tanda-tanda palsu.
TERPOPULER
