Cyberthreat.id – Perusahaan keamanan siber SentinelOne, mengungkapkan bahwa organisasi di Asia Timur sedang ditargetkan oleh aktor berbahasa Mandarin yang dijuluki DragonSpark sambil menggunakan taktik yang tidak biasa untuk melewati lapisan keamanan.

“Serangan tersebut ditandai dengan penggunaan SparkRAT sumber terbuka yang kurang dikenal dan malware yang berupaya menghindari deteksi melalui interpretasi kode sumber Golang,” kata SentinelOne, yang dikutip dari The Hacker News.

Menurut SentinelOne, aspek ang mencolok dari intrusi adalah penggunaan SparkRAT yang konsisten untuk melakukan berbagai aktivitas, termasuk mencuri informasi, mendapatkan kontrol dari host yang terinfeksi, atau menjalankan instruksi PowerShell tambahan.

Namun, tujuan akhir aktor ancaman masih belum diketahui, meskipun spionase atau kejahatan dunia maya kemungkinan besar menjadi motifnya. Ikatan DragonSpark dengan China berasal dari penggunaan web shell China Chopper untuk menyebarkan malware – jalur serangan yang banyak digunakan di kalangan pelaku ancaman China.

Selain itu, alat sumber terbuka yang digunakan dalam serangan dunia maya tidak hanya berasal dari pengembang atau perusahaan yang memiliki tautan ke China, infrastruktur untuk mengatur muatan terletak di Taiwan, Hong Kong, China, dan Singapura, beberapa di antaranya milik bisnis yang sah.

“Server command-and-control (C2), di sisi lain, terletak di Hong Kong dan AS”, kata perusahaan keamanan siber.

Peneliti mengatakan, akses awal memerlukan kompromi server web yang terpapar internet dan server database MySQL untuk menjatuhkan shell web China Chopper. Pijakan kemudian dimanfaatkan untuk melakukan pergerakan lateral, eskalasi hak istimewa, dan penyebaran malware menggunakan alat sumber terbuka seperti SharpToken, BadPotato, dan GotoHTTP.

Perangkat yang dikirimkan ke host adalah malware khusus yang mampu mengeksekusi kode sewenang-wenang dan SparkRAT, trojan akses jarak jauh lintas platform yang dapat menjalankan perintah sistem, memanipulasi file dan proses, dan menyedot informasi yang menarik.

Malware lain yang perlu diperhatikan adalah m6699.exe berbasis Golang, yang menginterpretasikan kode sumber yang terkandung di dalamnya saat runtime sehingga terbang di bawah radar dan meluncurkan pemuat kode shell yang direkayasa untuk menghubungi server C2 untuk mengambil dan mengeksekusi tahap berikutnya shellcode.

“Aktor ancaman berbahasa Mandarin diketahui sering menggunakan perangkat lunak sumber terbuka dalam kampanye jahat ,karena SparkRAT adalah alat multi-platform dan kaya fitur, dan diperbarui secara berkala dengan fitur-fitur baru,” para peneliti menyimpulkan.