Cyberthreat.id – Perusahaan keamanan siber Israel, Check Point, mengungkapkan, entitas pemerintah terkemuka di Asia Tenggara menjadi sasaran kampanye spionase dunia maya yang dilakukan oleh aktor ancaman China yang dikenal sebagai Sharp Panda sejak akhir tahun lalu.

Sharp Panda pertama kali didokumentasikan oleh perusahaan pada Juni 2021, menggambarkannya sebagai operasi yang sangat terorganisir yang berupaya secara signifikan untuk tetap berada di bawah radar. Intrusi ditandai dengan penggunaan versi baru kerangka modular Soul, menandai keberangkatan dari rantai serangan grup yang diamati pada tahun 2021.

Dikutip dari The Hacker News, perusahaan keamanan itu mengatakan aktivitas serangan ini secara historis memilih negara-negara seperti Vietnam, Thailand, dan Indonesia.

Penggunaan backdoor Soul dalam serangan dunia nyata pertama kali dirinci oleh Symantec Broadcom pada Oktober 2021 sehubungan dengan operasi spionase tanpa atribut yang menargetkan sektor pertahanan, perawatan kesehatan, dan TIK di Asia Tenggara. Sementara itu, menurut penelitian yang diterbitkan oleh Fortinet FortiGuard Labs pada Februari 2022, berasal dari Oktober 2017, dengan kode penggunaan ulang malware dari Gh0st RAT dan alat lain yang tersedia untuk umum.

Rantai serangan yang dirinci oleh Check Point, yang dimulai dengan email spear-phishing yang berisi dokumen iming-iming yang memanfaatkan senjata Royal Road Rich Text Format (RTF) untuk menjatuhkan pengunduh dengan mengeksploitasi salah satu dari beberapa kerentanan di Microsoft Equation Editor.

Pengunduh, pada gilirannya, dirancang untuk mengambil pemuat yang dikenal sebagai SoulSearcher dari server perintah-dan-kontrol (C&C) geofenced yang hanya menanggapi permintaan yang berasal dari alamat IP yang sesuai dengan negara yang ditargetkan. Pemuat kemudian bertanggung jawab untuk mengunduh, mendekripsi, dan mengeksekusi backdoor Soul dan komponen lainnya, sehingga memungkinkan musuh untuk memanen berbagai informasi.

“Modul utama Soul bertanggung jawab untuk berkomunikasi dengan server C&C dan tujuan utamanya adalah untuk menerima dan memuat modul tambahan dalam memori,” kata Check Point.

Menariknya, konfigurasi pintu belakang berisi fitur seperti 'keheningan radio', di mana aktor dapat menentukan jam tertentu dalam seminggu saat pintu belakang tidak diizinkan untuk berkomunikasi dengan server C&C. Temuan ini merupakan indikasi lain dari pembagian alat yang lazim di antara kelompok ancaman persisten tingkat lanjut (APT) Tiongkok untuk memfasilitasi pengumpulan intelijen.

“Sementara kerangka Soul telah digunakan setidaknya sejak 2017, pelaku ancaman di belakangnya terus memperbarui dan menyempurnakan arsitektur dan kemampuannya,” kata perusahaan itu.

Lebih lanjut dicatat bahwa kampanye tersebut kemungkinan besar dilakukan oleh aktor ancaman yang didukung China, yang alat, kemampuan, dan posisinya yang lain dalam jaringan kegiatan spionase yang lebih luas belum dieksplorasi.