Chociaż aktywność cybergangu IAmTheKing stała się powszechnie znana niedawno, działa on już od kilku lat. Ugrupowanie to posiada zestaw narzędzi, który szybko ewoluuje, oraz opanowało tradycyjne metodologie testów penetracyjnych. Ponadto wykazuje solidną znajomość Powershella - narzędzia do zarządzania automatyzacją i konfiguracją.
Na przestrzeni ostatnich kilku lat badacze z firmy Kaspersky wykryli trzy rodziny szkodliwego oprogramowania stworzone przez to samo ugrupowanie, którym nadali nazwy: KingOfHearts, QueenOfHearts oraz QueenOfClubs (rodzina ta została zidentyfikowana przez DHS CISA pod nazwą SlothfulMedia). Wszystkie trzy rodziny to backdoory, tj. programy zapewniające zdalny dostęp do zainfekowanego urządzenia. Jednak wśród narzędzi wykorzystywanych przez wspomniane cyberugrupowanie znajduje się również m.in. pokaźny arsenał skryptów Powershell oraz moduł do przechwytywania zrzutów ekranu.
Stosując głównie techniki spersonalizowanego phishingu, cyberprzestępcy zainfekowali urządzenia ofiar szkodliwym oprogramowaniem, a następnie wykorzystali znane programy testowania bezpieczeństwa w celu złamania zabezpieczeń kolejnych maszyn w sieci.
Do niedawna gang IAmTheKing koncentrował się wyłącznie na zbieraniu danych wywiadowczych z istotnych podmiotów rosyjskich. Wśród ofiar znajdowały się organizacje rządowe oraz wykonawcy z branży obronnej, agencje rozwoju publicznego, uniwersytety oraz przedsiębiorstwa energetyczne. Jednak w 2020 r. firma Kaspersky zidentyfikowała sporadyczne przypadki aktywności IamTheKing w Azji Centralnej oraz państwach Europy Wschodniej. Agencja DHS CISA donosiła również o aktywności tego ugrupowania na Ukrainie i w Malezji. Nie wiadomo, czy zmiana lokalizacji celów oznacza, że cyberugrupowanie dostosowuje swoją strategię, czy też jego zestaw narzędzi jest teraz wykorzystywany przez inne grupy cyberprzestępcze.
IamTheKing działa już od kilku lat. Jego aktywność jest niezwykle specyficzna, natomiast zestaw narzędzi - chociaż zaawansowany - nie wyróżnia się szczególnie pod względem technicznym. Teraz, gdy cyberugrupowanie to zostało ujawnione, więcej organizacji będzie analizowało jego arsenał. Dlatego też oferujemy dane, które udało nam się zebrać do tej pory, by wesprzeć współpracę społeczności oraz pomóc innym specjalistom ds. cyberbezpieczeństwa przygotować się do ochrony przed tym cybergangiem. Trzeba jednak pamiętać, że IAmTheKing jest teraz znany publicznie, dlatego może próbować modyfikować i uaktualniać swoje narzędzia. Nadal będziemy prowadzić dochodzenie w sprawie tego ugrupowania i dzielić się informacjami na temat jego aktywności z naszymi klientami - powiedział Iwan Kwiatkowski, starszy badacz ds. cyberbezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz (GReAT) w firmie Kaspersky.