Cybertheat.id – Perusahaan keamanan siber asal Slovakia, ESET, mengungkapkan gelombang serangan dari kelompok “Mustang Panda” (TA416) yang menargetkan para diplomat Eropa, penyedia layanan internet (ISP), dan lembaga penelitian.

Peretas menyerang target dengan taktik operasi phishing. Setelah menginfeksi perangkat, mereka menjatuhkan varian baru malware “Korplug” untuk spionase siber. Gelombang serangan mereka diketahui telah berjalan selama delapan bulan terakhir, tulis BleepingComputer, diakses Kamis (24 Maret 2022).

Menurut ESET, Korplug merupakan salah satu malware khusus yang digunakan secara luas, tetapi tidak secara eksklusif oleh Mustang Panda. Malware ini pernah diungkap pada 2020 terkait dengan aktivitas peretas China yang menargetkan Australia.

Sejak Agustus 2021, peretas memperbarui umpan phishing-nya. Yang terbaru, mereka menggunakan modus  topik perang Rusia-Ukraina, pembatasan perjalanan Covid-19, atau dokumen palsu dari Dewan Uni Eropa.

“Negara-negara yang menjadi target kampanye ini adalah Rusia, Yunani, Siprus, Afrika Selatan, Vietnam, Mongolia, Myanmar, dan Sudan Selatan,” ujar ESET.

Dalam laporannya, ESET melihat sampel malware yang rumit dan varian Korplug (Hodur) baru yang masih menggunakan pemuatan DLL side-loading. Namun, mereka telah memperbaruinya untuk menghindari radar deteksi keamanan.

“Skrip berbahaya dan muatan Korplug ini akan terenkripsi dan diunduh bersama dengan dokumen umpan dan eksekusi yang sah, dan menggabungkan eksekusi mereka untuk DLL side-loading untuk menghindari deteksi,” kata ESET.

Korplug adalah trojan akses jarak jauh (RAT) yang fungsinya belum dianalisis secara menyeluruh, kemungkinan karena ada begitu banyak varian yang dibuat oleh setiap APT yang menggunakannya. Yang digunakan oleh Mustang Panda dalam kampanye ini sangat mirip dengan THOR, varian PlugX yang ditemukan oleh peneliti Unit 42 di tahun lalu.[]

Redaktur: Andi Nugroho