Cyberthreat.id - Aktor ancaman yang terkait dengan kru peretasan yang dikenal sebagai Patchwork diamati baru-baru ini menargetkan universitas dan organisasi penelitian di China.

“Aktivitas tersebut, menurut Tim KnownSec 404, mensyaratkan penggunaan backdoor dengan nama sandi EyeShell,” tulis The Hacker News.

Patchwork, yang juga dikenal dengan nama Operation Hangover dan Zinc Emerson, diduga merupakan kelompok ancaman yang mengatasnamakan India.

Aktif sejak setidaknya Desember 2015, rantai serangan yang dipasang oleh kelompok tersebut memiliki fokus yang sempit dan cenderung memilih Pakistan dan China dengan implan khusus seperti BADNEWS melalui serangan spear-phishing dan watering hole.

Kolektif musuh telah ditemukan berbagi tumpang tindih taktis dengan kelompok spionase dunia maya lainnya dengan koneksi India, termasuk SideWinder dan Tim DoNot.

Awal Mei ini, Meta mengungkapkan bahwa pihaknya menghapus 50 akun di Facebook dan Instagram yang dioperasikan oleh Patchwork, yang memanfaatkan aplikasi perpesanan nakal yang diunggah ke Google Play Store untuk mengumpulkan data dari para korban di Pakistan, India, Bangladesh, Sri Lanka, Tibet, dan Cina.

"Patchwork mengandalkan serangkaian persona fiktif yang rumit untuk merekayasa orang secara sosial agar mengklik tautan jahat dan mengunduh aplikasi jahat," kata raksasa media sosial itu.

"Aplikasi ini berisi fungsionalitas berbahaya yang relatif mendasar dengan akses ke data pengguna semata-mata bergantung pada izin aplikasi yang sah yang diberikan oleh pengguna akhir.”

“Khususnya, Patchwork membuat situs ulasan palsu untuk aplikasi obrolan di mana mereka mencantumkan lima aplikasi komunikasi teratas, menempatkan milik mereka sendiri, aplikasi yang dikendalikan penyerang di bagian atas daftar."

Beberapa aktivitasnya juga telah dilaporkan dengan nama ModifiedElephant, menurut Secureworks, merujuk pada serangkaian serangan terhadap aktivis hak asasi manusia, akademisi, dan pengacara di seluruh India untuk melakukan pengawasan jangka panjang dan menanam "bukti digital yang memberatkan" sehubungan dengan kekerasan Bhima Koregaon 2018 di negara bagian Maharashtra.

EyeShell, terdeteksi bersama BADNEWS, adalah backdoor modular berbasis .NET yang hadir dengan kemampuan untuk menjalin kontak dengan server perintah-dan-kontrol (C2) jarak jauh dan menjalankan perintah untuk menghitung file dan direktori, mengunduh dan mengunggah file ke dan dari host, jalankan file tertentu, hapus file, dan ambil tangkapan layar.

Temuan itu muncul ketika perusahaan keamanan siber juga merinci gelombang serangan phishing lain yang diatur oleh kelompok bernama Bitter yang ditujukan untuk kedirgantaraan, militer, perusahaan besar, urusan pemerintah nasional, dan universitas di negara itu dengan backdoor baru yang dikenal sebagai ORPCBackdoor.

Aktor ancaman Asia Selatan sebelumnya terdeteksi menargetkan industri energi nuklir di China dengan pengunduh malware yang dikirimkan melalui File CHM dan Microsoft Excel yang dirancang untuk menciptakan kegigihan dan mengambil muatan lebih lanjut.[]