Cyberthreat.id – Kelompok peretas Alloy Taurus yang ditengarai dari China beraksi dengan sasaran Afrika Selatan dan Nepal. Aktifitas ini ditemukan Palo Alto Networks Unit 42. 

Mengutip Palo Alto, The Hacker News menuliskan, Alloy Taurus menggunakan varian Linux dari pintu belakang yang disebut PingPull serta alat baru yang tidak berdokumen dengan nama sandi Sword2033.

Alloy Taurus adalah moniker bertema konstelasi yang ditugaskan untuk aktor ancaman yang dikenal karena serangannya yang menargetkan perusahaan telekomunikasi setidaknya sejak 2012. Itu juga dilacak oleh Microsoft sebagai Granite Typhoon (sebelumnya Gallium).

Bulan lalu, kelompok peretas itu dikaitkan dengan Tainted Love yang menargetkan penyedia telekomunikasi di Timur Tengah sebagai bagian dari operasi yang lebih luas yang disebut sebagai Soft Cell.

Serangan spionase dunia maya baru-baru ini yang dilakukan oleh Alloy Taurus juga telah memperluas jejak viktimologi mereka hingga mencakup lembaga keuangan dan entitas pemerintah.

PingPull, The Hacker News melaporkan, pertama kali didokumentasikan oleh Unit 42 pada Juni 2022, adalah trojan akses jarak jauh yang menggunakan Internet Control Message ProtocolInternet (ICMP) untuk komunikasi command-and-control (C2).
Malware berjenis Linux, yang diunggah ke VirusTotal pada 7 Maret 2023, menawarkan fungsionalitas yang mirip dengan mitra Windows-nya, memungkinkannya melakukan operasi file dan menjalankan perintah sewenang-wenang dengan mentransmisikan dari server C2 satu karakter huruf besar antara A dan K, dan M.

"Setelah eksekusi, sampel ini dikonfigurasi untuk berkomunikasi dengan domain yrhsywu2009.zapto[.]org melalui port 8443 untuk C2," kata Unit 42. "Ia menggunakan pustaka OpenSSL (OpenSSL 0.9.8e) yang ditautkan secara statis untuk berinteraksi dengan domain melalui HTTPS."

Menariknya, penguraian instruksi C2 oleh PingPull mencerminkan China Chopper, sebuah shell web yang banyak digunakan oleh aktor ancaman China, menunjukkan bahwa aktor ancaman menggunakan kembali kode sumber yang ada untuk merancang alat khusus.

Pemeriksaan lebih dekat dari domain tersebut juga mengungkapkan adanya artefak ELF lain (yaitu, Sword2033) yang mendukung tiga fungsi dasar, termasuk mengunggah dan mengekstrak file ke dan dari sistem, dan menjalankan perintah.

Tautan malware ke Alloy Taurus berasal dari fakta bahwa domain diselesaikan ke alamat IP yang sebelumnya diidentifikasi sebagai indikator kompromi aktif (IoC) yang terkait dengan kampanye 2021 yang menargetkan perusahaan yang beroperasi di Asia Tenggara, Eropa, dan Afrika.

Penargetan Afrika Selatan, menurut perusahaan cybersecurity, datang dengan latar belakang negara yang mengadakan latihan angkatan laut 10 hari bersama dengan Rusia dan China awal tahun ini.

"Alloy Taurus tetap menjadi ancaman aktif bagi telekomunikasi, keuangan, dan organisasi pemerintah di seluruh Asia Tenggara, Eropa, dan Afrika," kata Unit 42.

"Identifikasi varian Linux dari malware PingPull, serta penggunaan backdoor Sword2033 baru-baru ini, menunjukkan bahwa grup tersebut terus mengembangkan operasi mereka untuk mendukung kegiatan spionase mereka."[]