Cyberthreat.id – Konni, geng peretas asal Korea Utara, dilaporkan melakukan serangkaian serangan yang menargetkan Kementerian Luar Negeri Rusia.

Temuan itu dikemukakan oleh perusahaan keamanan Black Lotus Lab Lumen Technologies. Menurut analisisnya, taktik-teknik-prosedur (TTP) Konni memiliki kesamaan dengan “Kimsuky” yang sebelumnya dilacak oleh komunitas siber Velvet Chollima, ITG16, Black Banshee, dan Thallium.

Serangan pertama mereka berupa mendapatkan akses ke jaringan korban melalui pencurian kredensial dan menjatuhkan malware untuk spionase, tulis The Hacker News, diakses Jumat (7 Januari 2022).

Serangan itu terdokumentasi oleh peneliti MalwareBytes hingga Juli 2021. Kemudian, pada 19 Oktober, terjadi pengulangan serangan phishing yang terjadi dalam tiga gelombang. Tujuan mereka mengumpulkan kredensial dari pegawai Kemenlu.

Peretas menggunakan umpan bertema Covid-19 pada bulan berikutnya dengan harapan pegawai menginstal perangkat lunak registrasi vaksinasi, padahal berupa malware.

“Aktivitas mereka berbarengan dengan pengesahan UU Paspor Vaksin Rusia yang mewajibkan orang Rusia harus menerima kode QR dari pemerintah untuk membuktikan vaksinasi agar bisa mengakses tempat umum, seperti restoran dan bar,” tulis peneliti di Black Lotus Lab Lumen Technologies.

Serangan ketiga, dikuatkan oleh peneliti di Cluster25 awal pekan ini, dimulai pada 20 Desember 2021, menggunakan tema perayaan “Malam Tahun Baru” dalam serangan spear-phishing. Serangan multi-tahap ini berujung pada pemasangan trojan akses jarak jauh bernama “Konni RAT”.

Secara khusus, penyusupan terjadi dengan terlebih dahulu meretas akun email milik staf Kemenlu—email jahat dikirim ke setidaknya dua perwakilan Kemenlu, seperti Kedutaan Besar Rusia di Indonesia dan Sergey Alexeyevich Ryabkov, seorang wakil menteri yang mengawasi non- proliferasi dan kontrol senjata.

Pesan email tersebut tampaknya menyebarkan pesan "Selamat Tahun Baru", hanya berisi lampiran screensaver trojan yang dirancang untuk mengambil dan menjalankan executable tahap berikutnya dari server jauh milik peretas.

Tahap terakhir serangan adalah penyebaran trojan Konni RAT, yang melakukan pengintaian terhadap mesin yang terinfeksi dan mengekstrak informasi yang dikumpulkan kembali ke server.

"Meski kampanye khusus ini sangat bertarget, sangat penting bagi para aktivis HAM untuk memahami kemampuan yang berkembang dari aktor tingkat lanjut," kata peneliti, mendesak organisasi untuk berhati-hati terhadap email phishing dan menggunakan otentikasi multi-faktor untuk mengamankan akun.[]