Cyberthreat.id – InvisiMole, sebuah kelompok peretasan yang memiliki hubungan dengan geng asal Rusia, Gamaredon, ditengarai sedang aktif menargetkan Ukraina.

Hal itu disampaikan oleh Tim Tanggap Darurat Komputer untuk Ukraina (CERT-UA) yang mendeteksi adanya serangan email phishing baru. Sebaran phishing tersebut menargetkan organisasi di Ukraina dengan menyematkan backdoor “LoadEdge”.

Menurut CERT-UA, email tersebut membawa file arsip terlampir dengan nama “501_25_103.zip”, bersama dengan file pintasan (LNK). Jika dibuka, file HTML Application (HTA) mengunduh dan mengeksekusi VBScript yang didesain untuk menyebarkan “LoadEdge”, tulis ZDNet, diakses Selasa (22 Maret 2022).

Setelah backdoor membentuk tautan ke peladen command-and-control (C2) invisiMole, muatan (payload) malware lain dikerahkan dan dieksekusi, termasuk TunnelMole—malware yang menyalahgunakan protokol DNS untuk membentuk terowongan untuk distribusi perangkat lunak berbahaya.

InvisiMole pertama kali ditemukan oleh para peneliti ESET pada 2018. Aktor ancaman telah aktif setidaknya sejak 2013 dan telah terhubung dengan serangan terhadap organisasi "profil tinggi" di Eropa Timur yang terlibat dalam kegiatan militer dan misi diplomatik.

Pada 2020, peneliti cybersecurity melihat adanya hubungan kolaboratif antara InvisiMole dan Gamaredon/Primitive Bear.

"Kami menemukan gudang senjata InvisiMole hanya dilepaskan setelah kelompok ancaman lain, Gamaredon, telah menyusup ke jaringan target," kata ESET kala itu.[]