Peneliti keamanan siber telah mengungkap botnet yang belum pernah terlihat sebelumnya yang terdiri dari sejumlah perangkat kantor kecil/kantor rumah (SOHO) dan IoT yang kemungkinan dioperasikan oleh aktor ancaman negara-bangsa China yang disebut Flax Typhoon (alias Ethereal Panda atau RedJuliett).
Botnet canggih yang dijuluki Kereta Raptor oleh Black Lotus Labs milik Lumen, diyakini telah beroperasi setidaknya sejak Mei 2020, mencapai puncaknya sebanyak 60.000 perangkat yang secara aktif disusupi pada Juni 2023.
“Sejak saat itu, telah ada lebih dari 200.000 router SOHO, perangkat NVR/DVR, server penyimpanan yang terpasang pada jaringan (NAS), dan kamera IP; semuanya dimasukkan ke dalam botnet Raptor Train, menjadikannya salah satu botnet IoT terbesar yang disponsori negara China yang ditemukan hingga saat ini,” kata perusahaan keamanan siber tersebut dalam laporan setebal 81 halaman yang dibagikan kepada The Hacker News.
Infrastruktur yang mendukung botnet diperkirakan telah menjerat ratusan ribu perangkat sejak pembentukannya, dengan jaringan yang didukung oleh arsitektur tiga tingkat yang terdiri dari hal berikut –
- Tingkat 1: Perangkat SOHO/IoT yang disusupi
- Tingkat 2: Server eksploitasi, server muatan, dan server perintah dan kontrol (C2)
- Tingkat 3: Node manajemen terpusat dan front-end aplikasi Electron lintas platform yang disebut Sparrow (alias Node Comprehensive Control Tool, atau NCCT)
Cara kerjanya adalah, tugas bot dimulai dari node manajemen “Sparrow” Tingkat 3, yang kemudian dirutekan melalui server C2 Tingkat 2 yang sesuai, dan selanjutnya dikirim ke bot itu sendiri di Tingkat 1, yang merupakan bagian besar dari botnet.
Beberapa perangkat yang ditargetkan termasuk router, kamera IP, DVR, dan NAS dari berbagai produsen seperti ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK, dan Zyxel.
Mayoritas node Tier 1 telah berlokasi geografis di AS, Taiwan, Vietnam, Brasil, Hong Kong, dan Turki. Setiap node ini memiliki masa pakai rata-rata 17,44 hari, yang menunjukkan kemampuan pelaku ancaman untuk menginfeksi ulang perangkat sesuai keinginannya.
“Dalam sebagian besar kasus, operator tidak membangun mekanisme persistensi yang bertahan melalui reboot,” kata Lumen.
“Keyakinan dalam eksploitasi ulang datang dari gabungan berbagai macam eksploitasi yang tersedia untuk berbagai perangkat SOHO dan IoT yang rentan dan sejumlah besar perangkat rentan di Internet, yang memberikan Raptor Train sedikit persistensi 'inheren'.”
Node-node tersebut terinfeksi oleh implan dalam memori yang dilacak sebagai Nosedive, varian khusus botnet Mirai, melalui server payload Tier 2 yang secara eksplisit disiapkan untuk tujuan ini. Biner ELF dilengkapi dengan kemampuan untuk menjalankan perintah, mengunggah dan mengunduh file, dan melancarkan serangan DDoS.
Sebaliknya, node Tier 2 dirotasi setiap 75 hari dan sebagian besar berlokasi di AS, Singapura, Inggris, Jepang, dan Korea Selatan. Jumlah node C2 telah meningkat dari sekitar 1-5 antara tahun 2020 dan 2022 menjadi tidak kurang dari 60 antara Juni 2024 dan Agustus 2024.
Node-node ini fleksibel karena mereka juga bertindak sebagai server eksploitasi untuk memasukkan perangkat-perangkat baru ke dalam botnet, server muatan, dan bahkan memfasilitasi pengintaian terhadap entitas-entitas yang menjadi target.
Setidaknya empat kampanye berbeda telah dikaitkan dengan botnet Raptor Train yang terus berkembang sejak pertengahan tahun 2020, yang masing-masing dibedakan berdasarkan domain root yang digunakan dan perangkat yang ditargetkan –
- Crossbill (dari Mei 2020 hingga April 2022) – penggunaan domain root C2 k3121.com dan subdomain terkait
- Finch (dari Juli 2022 hingga Juni 2023) – penggunaan domain root C2 b2047.com dan subdomain C2 terkait
- Canary (dari Mei 2023 hingga Agustus 2023) – penggunaan domain root C2 b2047.com dan subdomain C2 terkait, sambil mengandalkan dropper multi-tahap
- Oriole (dari Juni 2023 hingga September 2024) – penggunaan domain root C2 w8510.com dan subdomain C2 terkait
Kampanye Canary, yang secara besar-besaran menargetkan modem ActionTec PK5000, kamera IP Hikvision, NVR TVT Shenzhen, dan router ASUS, terkenal karena menggunakan rantai infeksi berlapis-lapis sendiri untuk mengunduh skrip bash tahap pertama, yang terhubung ke server muatan Tingkat 2 untuk mengambil Nosedive dan skrip bash tahap kedua.
Skrip bash baru, pada gilirannya, mencoba mengunduh dan mengeksekusi skrip bash tahap ketiga dari server muatan setiap 60 menit.
“Faktanya, domain C2 w8510.com untuk [the Oriole] “Kampanye tersebut menjadi sangat menonjol di antara perangkat IoT yang disusupi, sehingga pada tanggal 3 Juni 2024, kampanye tersebut dimasukkan dalam peringkat domain Cisco Umbrella,” kata Lumen.
“Setidaknya pada tanggal 7 Agustus 2024, domain tersebut juga masuk dalam 1 juta domain teratas versi Cloudflare Radar. Ini merupakan prestasi yang mengkhawatirkan karena domain yang ada dalam daftar popularitas ini sering kali menghindari alat keamanan melalui daftar putih domain, yang memungkinkan mereka untuk mengembangkan dan mempertahankan akses serta menghindari deteksi.”
Tidak ada serangan DDoS yang berasal dari botnet yang terdeteksi hingga saat ini, meskipun bukti menunjukkan bahwa botnet tersebut telah dijadikan senjata untuk menargetkan entitas AS dan Taiwan di sektor militer, pemerintahan, pendidikan tinggi, telekomunikasi, pangkalan industri pertahanan (DIB), dan teknologi informasi (TI).
Terlebih lagi, bot yang terjerat dalam Raptor Train kemungkinan telah melakukan upaya eksploitasi terhadap server Atlassian Confluence dan peralatan Ivanti Connect Secure (ICS) di vertikal yang sama, yang menunjukkan upaya pemindaian yang meluas.
Kaitan dengan Flax Typhoon – kelompok peretas dengan rekam jejak menyasar berbagai entitas di Taiwan, Asia Tenggara, Amerika Utara, dan Afrika – bermula dari adanya kesamaan jejak viktimologi, penggunaan bahasa Mandarin, dan kesamaan taktis lainnya.
“Ini adalah sistem kontrol tangguh berkelas perusahaan yang digunakan untuk mengelola lebih dari 60 server C2 dan node yang terinfeksi pada waktu tertentu,” kata Lumen.
“Layanan ini memungkinkan serangkaian aktivitas lengkap, termasuk eksploitasi bot yang dapat diskalakan, manajemen kerentanan dan eksploitasi, manajemen infrastruktur C2 jarak jauh, unggahan dan unduhan file, eksekusi perintah jarak jauh, dan kemampuan untuk menyesuaikan serangan penolakan layanan terdistribusi (DDoS) berbasis IoT dalam skala besar.”