Cyberthreat.id - Sebuah laporan terbaru dari perusahaan keamanan Bitdefender menyebutkan kelompok peretas yang disponsori negara (APT) China menargetkan pemerintah di kawasan Asia Tenggara dalam tiga tahun terakhir.

Dikutip dari Security Week, peneliti Bitfender meyakini kelompok APT ini berasal dari China karena menggunakan beberapa alat seperti backdoor Chinoxy, RAT PCShare, dan backdoor FunnyDream yang menggunakan bahasa China.

Peneliti mengatakan, serangan tersebut mulai aktif sejak 2018, dan meningkat secara signifikan pada awal 2019, mengakibatkan lebih dari 200 sistem terinfeksi dalam waktu lima bulan. Kelompok yang berada di balik serangan ini berusaha mempertahankan keberadaan mereka selama mungkin.

"Beberapa bukti menunjukkan bahwa pelaku ancaman mungkin telah berhasil menyusupi pengontrol domain dari jaringan korban, memungkinkan mereka untuk bergerak secara lateral dan berpotensi mendapatkan kendali atas sejumlah besar mesin dari infrastruktur itu," ungkap Bitfender dalam laporannya.

Untuk mempertahankan keberadaannya, para penyerang menggunakan biner bertanda tangan digital yang dimanfaatkan untuk memuat salah satu backdoor ke dalam memori. Data yang diincar para penyerang akan diidentifikasi dan difilter menggunakan alat khusus.

Pada awal dimulainya kampanye tersebut pada 2018, kelompok penyerang menggunakan backdoor Chinoxy untuk mempertahankan keberadaan mereka. Mereka juga menggunakan open source RAT PcShare China,  yang dikerahkan setelahnya. Alat yang disebut ccf32 digunakan untuk pengumpulan file dan, mulai tahun 2019, alat yang sama (bersama dengan utilitas tambahan) digunakan dalam infeksi FunnyDream.

Untuk mengumpulkan data, mereka menggunakan ccf32 yang dapat membuat daftar semua file di hard drive atau hanya menargetkan folder tertentu. Selain itu, ccf32 juga memungkinkan penyerang untuk memfilter file berdasarkan ekstensi, mengumpulkan file yang diminati di folder tersembunyi di lokasi saat ini, dan kemudian menambahkan file ini ke arsip yang dikirim ke penyerang.

Penggunaan backdoor FunnyDream menjadi salah satu bagian paling kompleks bagi kelompok ini. Malware yang dikirim ke mesin yang disusupi tak hanya sebagai DLL, tetapi juga dapat dieksekusi dalam beberapa kasus. Beberapa kemampuannya termasuk pengumpulan informasi dan eksfiltrasi, penghindaran deteksi, dan eksekusi perintah.

Malware itu berisi berbagai komponen untuk melakukan tindakan seperti pengumpulan file (Filepak dan FilePakMonitor), mengambil tangkapan layar (ScreenCap), mencatat penekanan tombol (Keyrecord), mengakses jaringan internal (TcpBridge), dan melewati batasan jaringan (TcpTransfer).

Kelompok ini juga membuat Md_client, sebuah komponen backdoor yang dibuat khusus dan lebih kompleks. Md_client mampu mengumpulkan informasi sistem, membuat shell jarak jauh, membuat daftar direktori, mengunggah dan mengunduh file, menjalankan perintah, dan menghapus direktori.

Selain itu, peneliti menemukan bahwa alamat C&C di-hardcode dalam biner malware dan bahwa sebagian besar infrastruktur penyerang berlokasi di Hong Kong, dengan hanya tiga server di tempat lain (masing-masing di Vietnam, Cina, dan Korea Selatan).

Laporan Bitdefender ini tidak menyebutkan pemerintah mana saja di Asia Tenggara yang menjadi korbannya. Namun, laporan terdahulu dari Kaspersky mengidentifikasi FunnyDream menargetkan pemerintah Malaysia, Taiwan, dan Filipina, dan Vietnam sebagai korban terbesarnya.

Bitdefender dan Kaspersky menegaskan kelompok ini masih aktif menjalankan kegiatan spionase siber, dengan mencuri dokumen sensitif dari server yang terinfeksi, dengan fokus utamanya pada keamanan nasional dan industri spionase. []

Editor: Yuswardi A. Suud