Entitas pemerintah yang tidak disebutkan namanya di Timur Tengah dan Malaysia menjadi target kampanye cyber terus-menerus yang diatur oleh aktor ancaman yang dikenal sebagai Tropic Trooper sejak Juni 2023.
“Melihat kelompok ini [Tactics, Techniques, and Procedures] di entitas pemerintah penting di Timur Tengah, khususnya yang terkait dengan studi hak asasi manusia, menandai langkah strategis baru bagi mereka,” kata peneliti keamanan Kaspersky Sherif Magdy.
Vendor keamanan siber Rusia tersebut mengatakan pihaknya mendeteksi aktivitas tersebut pada Juni 2024 setelah menemukan versi baru China Chopper web Shell, sebuah alat yang digunakan bersama oleh banyak pelaku ancaman berbahasa Mandarin untuk akses jarak jauh ke server yang disusupi, pada server web publik yang menghosting sistem manajemen konten (CMS) sumber terbuka yang disebut Umbraco.
Rangkaian serangan tersebut dirancang untuk mengirimkan implan malware bernama Crowdoor, varian pintu belakang SparrowDoor yang didokumentasikan oleh ESET pada bulan September 2021. Upaya tersebut pada akhirnya tidak berhasil.
Tropic Trooper, yang juga dikenal dengan nama APT23, Earth Centaur, KeyBoy, dan Pirate Panda, dikenal karena menyasar industri pemerintah, perawatan kesehatan, transportasi, dan teknologi tinggi di Taiwan, Hong Kong, dan Filipina. Kelompok yang berbahasa Mandarin tersebut telah dinilai aktif sejak 2011, dan memiliki hubungan dekat dengan kelompok penyusup lain yang dilacak sebagai FamousSparrow.
Intrusi terbaru yang disoroti Kaspersky signifikan untuk mengkompilasi web shell China Chopper sebagai modul .NET dari Umbraco CMS, dengan eksploitasi lanjutan yang mengarah pada penyebaran alat untuk pemindaian jaringan, pergerakan lateral, dan penghindaran pertahanan, sebelum meluncurkan Crowdoor menggunakan teknik pemuatan samping DLL.
Diduga web shell dikirimkan dengan mengeksploitasi kerentanan keamanan yang diketahui dalam aplikasi web yang dapat diakses publik, seperti Adobe ColdFusion (CVE-2023-26360) dan Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207).
Crowdoor, pertama kali diamati pada bulan Juni 2023, juga berfungsi sebagai loader untuk menjatuhkan Cobalt Strike dan mempertahankan persistensi pada host yang terinfeksi, sekaligus bertindak sebagai pintu belakang untuk mengumpulkan informasi sensitif, meluncurkan reverse shell, menghapus file malware lainnya, dan menghentikan dirinya sendiri.
“Ketika pelaku menyadari bahwa pintu belakang mereka terdeteksi, mereka mencoba mengunggah sampel yang lebih baru untuk menghindari deteksi, sehingga meningkatkan risiko kumpulan sampel baru mereka terdeteksi dalam waktu dekat,” catat Magdy.
“Arti penting dari intrusi ini terletak pada penampakan aktor berbahasa Mandarin yang menargetkan platform manajemen konten yang menerbitkan studi tentang hak asasi manusia di Timur Tengah, khususnya berfokus pada situasi seputar konflik Israel-Hamas.”
“Analisis kami terhadap intrusi ini mengungkapkan bahwa seluruh sistem ini menjadi satu-satunya target selama serangan, yang menunjukkan adanya fokus yang disengaja pada konten spesifik ini.”