Cyberthreat.id - Kelompok hacker China yang dikenal sebagai Camaro Dragon telah dikaitkan dengan backdoor lain yang dirancang untuk memenuhi tujuan pengumpulan-intelijennya. Aspek pentingnya, mereka mampu mem-bypass solusi antivirus Indonesia yang disebut Smadav.

Perusahaan keamanan siber Israel, Check Point, yang menjuluki TinyNote malware berbasis Go, mengatakan itu berfungsi sebagai muatan tahap pertama yang mampu melakukan "pencacahan mesin dasar dan eksekusi perintah melalui PowerShell atau Goroutines."

Apa yang kurang dimiliki malware dalam hal kecanggihan, tulis The Hacker News, hal itu menebusnya ketika harus menetapkan metode yang berlebihan untuk mempertahankan akses ke host yang disusupi melalui beberapa tugas persistensi dan berbagai metode untuk berkomunikasi dengan server yang berbeda.

“Camaro Dragon tumpang tindih dengan aktor ancaman yang dilacak secara luas sebagai Mustang Panda, grup yang disponsori negara dari China yang diketahui aktif setidaknya sejak 2012,” tulis The Hacker News.

Kolektif musuh baru-baru ini menjadi sorotan untuk implan firmware khusus yang dipesan lebih dahulu yang disebut Horse Shell yang mengkooptasi router TP-Link ke dalam jaringan mesh yang mampu mentransmisikan perintah ke dan dari server command-and-control (C2).

Dengan kata lain, tujuannya adalah untuk mengaburkan aktivitas jahat dengan menggunakan router rumah yang dikompromikan sebagai infrastruktur perantara yang memungkinkan komunikasi dengan komputer yang terinfeksi berasal dari node yang berbeda.

Temuan terbaru menunjukkan evolusi dan pertumbuhan kecanggihan taktik penghindaran dan penargetan kedua penyerang, belum lagi campuran luas alat khusus yang digunakan untuk menembus pertahanan target yang berbeda.

Backdoor TinyNote didistribusikan menggunakan nama yang terkait dengan urusan luar negeri (misalnya, "Daftar Kontak PDF_ Anggota Deplomatik yang Diundang") dan diyakini menargetkan kedutaan Asia Tenggara dan Timur. Itu juga merupakan artefak Mustang Panda pertama yang diketahui yang ditulis dalam bahasa Golang.

Aspek penting dari malware ini adalah kemampuannya untuk secara khusus mem-bypass solusi antivirus Indonesia yang disebut Smadav, menggarisbawahi persiapan tingkat tinggi dan pengetahuan mendalam tentang lingkungan korban.

"Pintu belakang TinyNote menyoroti pendekatan yang ditargetkan dari Camaro Dragon dan penelitian ekstensif yang mereka lakukan sebelum menyusup ke sistem korban yang dituju," kata Check Point.

"Penggunaan backdoor ini secara bersamaan dengan alat lain dengan berbagai tingkat kemajuan teknis menyiratkan bahwa pelaku ancaman secara aktif berusaha untuk mendiversifikasi persenjataan serangan mereka."

Pengungkapan tersebut muncul saat ThreatMon mengungkap penggunaan teknik living-off-the-land (LotL) APT41 (alias Wicked Panda) untuk meluncurkan pintu belakang PowerShell dengan memanfaatkan file yang dapat dieksekusi Windows yang sah yang disebut forfiles.

Bukan itu saja. Pejabat pemerintah tingkat tinggi dari negara-negara G20 telah muncul sebagai target kampanye phishing baru yang diatur oleh aktor ancaman China lainnya yang disebut Sharp Panda, per Cyble.

Email tersebut berisi versi jebakan dari dokumen resmi yang diklaim, yang menggunakan metode injeksi template jarak jauh untuk mengambil pengunduh tahap berikutnya dari server C2 menggunakan senjata Royal Road Rich Text Format (RTF).

Perlu diperhatikan bahwa rantai infeksi yang disebutkan di atas konsisten dengan aktivitas Sharp Panda sebelumnya, seperti yang baru-baru ini dibuktikan oleh Check Point dalam serangan yang ditujukan pada entitas pemerintah di Asia Tenggara.

Terlebih lagi, Tentara Pembebasan Rakyat (PLA) China ditemukan memanfaatkan informasi sumber terbuka yang tersedia dari internet dan sumber lain untuk tujuan intelijen militer guna mendapatkan keuntungan strategis atas Barat.

“Penggunaan OSINT oleh PLA kemungkinan besar memberikannya keuntungan intelijen, karena lingkungan informasi terbuka Barat memungkinkan PLA untuk dengan mudah memanen data sumber terbuka dalam jumlah besar, sedangkan militer Barat harus bersaing dengan lingkungan informasi tertutup China,” kata Recorded Future.

Analisis tersebut diambil dari daftar 50 catatan pengadaan industri pertahanan PLA dan China yang diterbitkan antara Januari 2019 dan Januari 2023.

"Penyedia data komersial juga harus menyadari bahwa industri militer dan pertahanan China dapat membeli data mereka untuk tujuan intelijen, dan harus mempertimbangkan untuk melakukan uji tuntas saat menjual data mereka ke entitas di China," kata perusahaan itu.[]