Cyberthreat.id – Peneliti kemanan siber dari Mandiant mengungkapkan aktivitas spionase siber yang mengandalkan perangkat USB sebagai vektor infeksi awal terlihat menargetkan entitas publik dan swasta di Asia Tenggara dan Filipina.

Kampanye serangan ini dikaitkan dengan aktor ancaman yang berbasis di China yang disebut UNC4191.

Dikutip dari Info Security Magazine, operasi UNC4191 telah memengaruhi beberapa entitas di Asia Tenggara tetapi juga di AS, Eropa, dan Asia Pasifik Jepang. Sistem spesifik yang ditargetkan oleh UNC4191 juga ditemukan secara fisik berlokasi di Filipina.

Dalam hal strategi serangan, setelah infeksi awal melalui perangkat USB, pelaku ancaman memanfaatkan biner yang ditandatangani secara sah untuk memuat malware, termasuk tiga keluarga baru Mandiant bernama Mistcloak, Darkdew, dan Bluehaze.

Yang pertama dari tiga bagian malware bertanggung jawab untuk memuat file berbahaya yang menyamar sebagai perpustakaan tautan dinamis (DLL) yang sah dan untuk meluncurkan file terenkripsi. Fase kedua serangan melibatkan Darkdew, muatan DLL terenkripsi yang dapat menginfeksi drive yang dapat dilepas untuk mengaktifkan perbanyakan sendiri. Terakhir, Bluehaze mengeksekusi untuk mencapai kegigihan sistem.

“Kompromi yang berhasil menyebabkan penerapan biner NCAT yang diganti namanya dan eksekusi shell terbalik pada sistem korban, menyediakan akses pintu belakang ke aktor ancaman,” jelas para peneliti keamanan.

Peneliti mengatakan malware menggandakan diri dengan menginfeksi drive baru yang dapat dilepas yang dicolokkan ke sistem yang disusupi, memungkinkan muatan berbahaya menyebar ke sistem tambahan dan berpotensi mengumpulkan data dari sistem celah udara. Bahkan, berdasarkan data yang terkumpul, kampanye UNC4191 berpotensi diperpanjang hingga September 2021.

“Kami percaya kegiatan ini menampilkan operasi China untuk mendapatkan dan mempertahankan akses ke entitas publik dan swasta untuk tujuan pengumpulan intelijen yang terkait dengan kepentingan politik dan komersial China,” tulis perusahaan tersebut.

Pengamatan Mandiant menunjukkan bahwa entitas di Filipina adalah target utama operasi ini berdasarkan jumlah sistem yang terkena dampak di negara ini yang diidentifikasi oleh Mandiant.

Laporan ini muncul beberapa bulan setelah aktor ancaman Luckymouse terlihat menggunakan versi trojan dari aplikasi perpesanan lintas platform MiMi ke perangkat backdoor di Filipina dan Taiwan.