Tiga kelompok aktivitas ancaman yang terkait dengan Tiongkok telah diamati membahayakan lebih banyak organisasi pemerintah di Asia Tenggara sebagai bagian dari operasi baru yang disponsori negara dengan nama sandi Istana Merahyang menunjukkan perluasan cakupan upaya spionase.
Perusahaan keamanan siber Sophos, yang telah memantau serangan siber tersebut, mengatakan serangan tersebut terdiri dari tiga kelompok intrusi yang dilacak sebagai Cluster Alpha (STAC1248), Cluster Bravo (STAC1870), dan Cluster Charlie (STAC1305). STAC adalah singkatan dari “security threats activity cluster.”
“Para penyerang secara konsisten menggunakan jaringan organisasi dan layanan publik lain yang telah disusupi di wilayah tersebut untuk mengirimkan malware dan alat dengan kedok titik akses tepercaya,” kata peneliti keamanan Mark Parsons, Morgan Demboski, dan Sean Gallagher dalam laporan teknis yang dibagikan kepada The Hacker News.
Aspek penting dari serangan ini adalah penggunaan sistem organisasi yang tidak disebutkan namanya sebagai titik relai perintah dan kontrol (C2) dan tempat penyimpanan peralatan. Microsoft Exchange Server milik organisasi kedua yang disusupi dikatakan telah digunakan untuk menghosting malware.
Crimson Palace pertama kali didokumentasikan oleh perusahaan keamanan siber pada awal Juni 2024, dengan serangan terjadi antara Maret 2023 dan April 2024.
Sementara aktivitas awal yang terkait dengan Cluster Bravo, yang tumpang tindih dengan kelompok ancaman bernama Unfading Sea Haze, terbatas pada Maret 2023, gelombang serangan baru yang terdeteksi antara Januari dan Juni 2024 telah diamati menargetkan 11 organisasi dan lembaga lain di wilayah yang sama.
Serangkaian serangan baru yang diatur oleh Cluster Charlie, sebuah klaster yang disebut sebagai Earth Longzhi, juga telah diidentifikasi antara September 2023 dan Juni 2024, beberapa di antaranya juga melibatkan penerapan kerangka kerja C2 seperti Cobalt Strike, Havoc, dan XieBroC2 untuk memfasilitasi pasca-eksploitasi dan memberikan muatan tambahan seperti SharpHound untuk pemetaan infrastruktur Direktori Aktif.
“Pencurian data yang bernilai intelijen masih menjadi tujuan setelah dimulainya kembali aktivitas,” kata para peneliti. “Namun, sebagian besar upaya mereka tampaknya difokuskan pada upaya membangun kembali dan memperluas pijakan mereka pada jaringan target dengan melewati perangkat lunak EDR dan dengan cepat membangun kembali akses ketika implan C2 mereka telah diblokir.”
Aspek penting lainnya adalah ketergantungan Cluster Charlie yang besar pada pembajakan DLL untuk mengeksekusi malware, sebuah pendekatan yang sebelumnya diadopsi oleh para pelaku ancaman di balik Cluster Alpha, yang menunjukkan adanya “penyerbukan silang” taktik.
Beberapa program sumber terbuka lain yang digunakan oleh pelaku ancaman tersebut meliputi RealBlindingEDR dan Alcatraz, yang memungkinkan penghentian proses antivirus dan mengaburkan file eksekusi portabel (misalnya, .exe, .dll, dan .sys) dengan tujuan agar tidak terdeteksi radar.
Yang melengkapi persenjataan malware klaster ini adalah keylogger yang sebelumnya tidak dikenal dengan nama sandi TattleTale yang awalnya diidentifikasi pada bulan Agustus 2023 dan mampu mengumpulkan data peramban Google Chrome dan Microsoft Edge.
“Malware tersebut dapat mengambil sidik jari dari sistem yang terinfeksi dan memeriksa drive fisik dan jaringan yang terpasang dengan menyamar sebagai pengguna yang sedang login,” jelas para peneliti.
“TattleTale juga mengumpulkan nama pengontrol domain dan mencuri Kebijakan Informasi Kueri LSA (Otoritas Keamanan Lokal), yang diketahui berisi informasi sensitif terkait kebijakan kata sandi, pengaturan keamanan, dan terkadang kata sandi yang di-cache.”
Singkatnya, ketiga kluster bekerja bahu-membahu, sementara secara bersamaan berfokus pada tugas-tugas spesifik dalam rantai serangan: menyusup ke lingkungan target dan melakukan pengintaian (Alpha), menggali jauh ke dalam jaringan menggunakan berbagai mekanisme C2 (Bravo), dan mengekstraksi data berharga (Charlie).
“Sepanjang pertempuran, musuh tampaknya terus menguji dan menyempurnakan teknik, alat, dan praktik mereka,” para peneliti menyimpulkan. “Saat kami menerapkan tindakan pencegahan untuk malware khusus mereka, mereka menggabungkan penggunaan alat yang dikembangkan khusus dengan alat generik sumber terbuka yang sering digunakan oleh penguji penetrasi yang sah, menguji berbagai kombinasi.”
