Cyberthreat.id - Para peneliti keamanan siber dari Symantec, mengungkapkan grup peretas asal China menargetkan sektor media, keuangan, dan elektronik. Mereka digolongkan sebagai Advanced Persistent Threat (APT), atau grup peretas yang  disokong negara  

Dikutip dari The Hacker News, para peneliti ini menemukan adanya upaya spionase baru terpola yang menargetkan sektor media, konstruksi, teknik, elektronik, dan keuangan di Jepang, Taiwan, AS, dan China.

Di antara banyak korban yang terinfeksi oleh Palmerworm yaitu perusahaan media, elektronik, dan keuangan yang semuanya berbasis di Taiwan. Perusahaan teknik di Jepang dan perusahaan konstruksi di China juga menjadi sasaran.

Menurut para peneliti, serangan siber ini dikaitkan ke kelompok  Palmerworm atau yang dikenal juga dengan BlackTech, kelompok APT yang berbasis di China. Kegiatan kelompok ini mulai tercium sejak Agustus 2019, meskipun motivasi utama mereka masih belum jelas.

"Meskipun kami tidak dapat melihat apa yang Palmerworm eksfiltrasi dari para korban ini, kelompok tersebut dianggap sebagai kelompok spionase dan kemungkinan motivasinya untuk mencuri informasi dari perusahaan yang ditargetkan," ungkap kelompok peneliti dari Symantec.

Kelompok ini diketahui menggunakan malware khusus untuk menyusupi organisasi. Grup tersebut dikatakan tetap aktif di jaringan perusahaan media Taiwan selama setahun, dengan tanda-tanda aktivitas yang diamati pada Agustus 2020.

Ini bukan pertama kalinya bagi kelompok APT ini. Sebelumnya, saat masih menggunakan nama BlackTech, mereka sudah banyak melakukan serangkaian serangan siber. Berdasarkan analisis Trend Micro pada 2017 lalu, terungkap bahwa kelompok ini terlibat dalam  tiga kampanye yakni PLEAD, Shrouded Crossbow, dan Waterbear, dengan tujuan untuk mencuri dokumen rahasia dan kekayaan intelektual target.

Hal ini diperkuat dengan beberapa sampel malware yang diidentifikasi cocok dengan PLEAD. Para peneliti mengatakan mereka mengidentifikasi empat backdoor yang sebelumnya tidak berdokumen seperti Backdoor.Consock, Backdoor.Waship, Backdoor.Dalwit, dan Backdoor.Nomri. Hal ini menunjukkan mereka mungkin alat yang baru dikembangkan, atau evolusi dari alat Palmerworm yang lebih tua.

"Jika bukan karena penggunaan alat penggunaan ganda (seperti Putty, PSExec, SNScan, dan WinRAR) dan sertifikat penandatanganan kode yang dicuri untuk menandatangani secara digital muatan berbahaya dan menggagalkan deteksi, taktik yang pernah digunakan sebelumnya akan sulit mengidentifikasikan mereka."

Detail lain yang terasa tidak terlalu jelas adalah vektor infeksi atau metode yang digunakan Palmerworm untuk mendapatkan akses awal ke jaringan korban. Kelompok tersebut memanfaatkan email spear-phishing di masa lalu untuk mengirim dan menginstal backdoor mereka, baik dalam bentuk lampiran atau melalui tautan ke layanan penyimpanan cloud.[]

Editor: Yuswardi A. Suud