Lembaga pemerintah tingkat tinggi di Sri Lanka, Bangladesh, dan Pakistan telah muncul sebagai target kampanye baru yang dirancang oleh aktor ancaman yang dikenal sebagai Sidewinder.
“Para penyerang menggunakan email phishing tombak yang dipasangkan dengan muatan geofenced untuk memastikan bahwa hanya korban di negara -negara tertentu yang menerima konten jahat,” peneliti Acronis Santiago Pontiroli, Jozsef Gegeny, dan Prakas Thevendaran dalam sebuah laporan yang dibagikan kepada Hacker News.
Rantai serangan memanfaatkan umpan phishing tombak sebagai titik awal untuk mengaktifkan proses infeksi dan menggunakan malware yang diketahui yang disebut sebagai stealerbot. Perlu menunjukkan bahwa modus operandi konsisten dengan serangan Sidewinder baru -baru ini yang didokumentasikan oleh Kaspersky pada Maret 2025.
Beberapa target kampanye, per acronis, termasuk Komisi Pengaturan Telekomunikasi Bangladesh, Kementerian Pertahanan, dan Kementerian Keuangan; Direktorat Pengembangan Teknis Pribumi Pakistan; dan Departemen Sumber Daya Eksternal Sri Lanka, Departemen Operasi Perbendaharaan, Kementerian Pertahanan, dan Bank Sentral.
Serangan tersebut ditandai dengan penggunaan kelemahan eksekusi kode jarak jauh yang berusia bertahun-tahun di Microsoft Office (CVE-2017-0199 dan CVE-2017-11882) sebagai vektor awal untuk menggunakan malware yang mampu mempertahankan akses persisten di lingkungan pemerintah di seluruh Asia Selatan.
Dokumen jahat, ketika dibuka, memicu eksploitasi untuk CVE-2017-0199 untuk mengirimkan muatan tahap berikutnya yang bertanggung jawab untuk menginstal stealerBot dengan menggunakan teknik pemuatan samping DLL.
Satu taktik penting yang diadopsi oleh Sidewinder adalah bahwa email phishing tombak digabungkan dengan muatan geofenced untuk memastikan bahwa hanya korban yang memenuhi kriteria penargetan yang dilayani konten jahat. Jika alamat IP korban tidak cocok, file RTF kosong dikirim sebagai gantinya sebagai umpan.
Payload berbahaya adalah file RTF yang mempersenjatai CVE-2017-11882, kerentanan korupsi memori dalam editor persamaan, untuk meluncurkan loader berbasis shellcode yang menjalankan malware stealerBot.
Stealerbot, menurut Kaspersky, adalah implan .NET yang direkayasa untuk menjatuhkan malware tambahan, meluncurkan shell terbalik, dan mengumpulkan berbagai data dari host yang dikompromikan, termasuk tangkapan layar, penekanan tombol, kata sandi, dan file.
“Sidewinder telah menunjukkan aktivitas yang konsisten dari waktu ke waktu, mempertahankan laju operasi yang stabil tanpa ketidakaktifan yang berkepanjangan – sebuah pola yang mencerminkan kesinambungan organisasi dan niat berkelanjutan,” kata para peneliti.
“Analisis yang lebih dekat tentang taktik, teknik, dan prosedur mereka (TTP) mengungkapkan tingkat kontrol dan presisi yang tinggi, memastikan bahwa muatan jahat dikirim hanya untuk target yang dipilih dengan cermat, dan seringkali hanya untuk waktu yang terbatas.”
