Cyberthreat.id - Kementerian luar negeri di Amerika menjadi sasaran hacker yang disponsori negara China bernama Flea sebagai bagian dari kampanye baru-baru ini yang berlangsung dari akhir 2022 hingga awal 2023.

Serangan siber, menurut Symantec dari Broadcom sebagaimana dikutip The Hacker News, melibatkan backdoor baru dengan nama kode Graphican. Beberapa target lainnya termasuk departemen keuangan pemerintah dan perusahaan yang memasarkan produk di Amerika serta satu korban yang tidak ditentukan di negara Eropa.

"Flea menggunakan sejumlah besar alat dalam kampanye ini," kata perusahaan itu dalam sebuah laporan yang dibagikan dengan The Hacker News, menggambarkan pelaku ancaman sebagai "besar dan memiliki sumber daya yang baik." "Serta backdoor Graphican baru, penyerang memanfaatkan berbagai alat hidup-off-the-land, serta alat yang sebelumnya telah dikaitkan dengan Flea."

Flea, juga disebut APT15, BackdoorDiplomacy, ke3chang, Nylon Typhoon (sebelumnya Nikel), Playful Taurus, Royal APT, dan Vixen Panda, adalah kelompok ancaman yang terus-menerus maju yang diketahui menyerang pemerintah, misi diplomatik, dan kedutaan sejak setidaknya tahun 2004.

Awal Januari ini, kelompok tersebut dikaitkan sebagai dibalik serangkaian serangan yang menargetkan entitas pemerintah Iran antara Juli dan akhir Desember 2022.

Kemudian bulan lalu, terungkap bahwa pemerintah Kenya telah dipilih dalam operasi pengumpulan intelijen selama tiga tahun yang ditujukan untuk kementerian dan lembaga negara utama di negara tersebut.

Kru negara-bangsa juga telah terlibat dalam beberapa kampanye pengawasan Android – SilkBean dan BadBazaar – menargetkan orang Uyghur di Republik Rakyat Tiongkok dan luar negeri, sebagaimana dirinci oleh Lookout masing-masing pada Juli 2020 dan November 2022.

Graphican dikatakan sebagai evolusi dari backdoor Flea yang dikenal bernama Ketrican, fitur-fitur yang telah digabungkan dengan implan lain yang dikenal sebagai Okrum untuk menelurkan malware baru yang dijuluki Ketrum.

Pintu belakang, meskipun memiliki fungsi yang sama, berbeda dari Ketrican untuk memanfaatkan Microsoft Graph API dan OneDrive untuk mendapatkan detail server perintah-dan-kontrol (C&C).

"Sampel Graphican yang diamati tidak memiliki server C&C yang di-hardcode, melainkan mereka terhubung ke OneDrive melalui Microsoft Graph API untuk mendapatkan alamat server C&C terenkripsi dari folder anak di dalam folder 'Person'," kata Symantec.

“Malware kemudian mendekodekan nama folder dan menggunakannya sebagai server C&C untuk malware tersebut."

Perlu diperhatikan bahwa penyalahgunaan Microsoft Graph API dan OneDrive sebelumnya telah diamati dalam kasus aktor ancaman Rusia dan China seperti APT28 (alias Sofacy atau Swallowtail) dan Bad Magic (alias Red Stinger).

Graphican diperlengkapi untuk meminta server C&C untuk menjalankan perintah baru, termasuk membuat baris perintah interaktif yang dapat dikontrol dari server, mengunduh file ke host, dan menyiapkan proses rahasia untuk memanen data yang diinginkan.

Salah satu alat penting lainnya yang digunakan dalam aktivitas ini terdiri dari versi terbaru dari pintu belakang EWSTEW untuk mengekstraksi email yang dikirim dan diterima di server Microsoft Exchange yang dilanggar.

"Penggunaan backdoor baru oleh Flea menunjukkan bahwa grup ini, meski telah beroperasi selama bertahun-tahun, terus aktif mengembangkan alat baru," kata Symantec. "Grup ini telah mengembangkan beberapa alat khusus selama bertahun-tahun."

"Kesamaan dalam fungsionalitas antara Graphican dan backdoor Ketrican yang diketahui mungkin menunjukkan bahwa grup tersebut tidak terlalu peduli tentang aktivitas yang dikaitkan dengannya."[]