Seorang tersangka pelaku ancaman yang berbasis di Tiongkok telah dikaitkan dengan serangkaian serangan siber yang menargetkan organisasi-organisasi terkenal di Asia Tenggara setidaknya sejak Oktober 2023.
Kampanye spionase ini menargetkan organisasi-organisasi di berbagai sektor yang mencakup kementerian pemerintah di dua negara berbeda, sebuah organisasi pengatur lalu lintas udara, sebuah perusahaan telekomunikasi, dan sebuah media, kata Tim Pemburu Ancaman Symantec dalam sebuah laporan baru yang dibagikan kepada The Hacker News.
Serangan-serangan tersebut, yang memanfaatkan alat-alat yang sebelumnya diidentifikasi terkait dengan kelompok ancaman persisten tingkat lanjut (APT) yang berbasis di Tiongkok, ditandai dengan penggunaan teknik sumber terbuka dan teknik hidup di luar lahan (LotL).
Ini termasuk penggunaan program proxy terbalik seperti Rakshasa dan Stowaway, serta alat penemuan dan identifikasi aset, keylogger, dan pencuri kata sandi. Yang juga dikerahkan selama serangan adalah PlugX (alias Korplug), sebuah trojan akses jarak jauh yang digunakan oleh beberapa kelompok peretas Tiongkok.
“Pelaku ancaman juga menginstal file DLL khusus yang bertindak sebagai filter mekanisme otentikasi, memungkinkan mereka mencegat kredensial login,” tulis Symantec. Perusahaan milik Broadcom mengatakan kepada The Hacker News bahwa mereka tidak dapat menentukan vektor infeksi awal dalam serangan apa pun.
Dalam salah satu serangan yang menargetkan suatu entitas yang berlangsung selama tiga bulan antara Juni dan Agustus 2024, musuh melakukan aktivitas pengintaian dan membuang kata sandi, sekaligus memasang keylogger dan mengeksekusi muatan DLL yang mampu menangkap informasi login pengguna.
Symantec mencatat bahwa para penyerang berhasil mempertahankan akses rahasia ke jaringan yang disusupi untuk jangka waktu yang lama, memungkinkan mereka mengambil kata sandi dan memetakan jaringan yang diinginkan. Informasi yang dikumpulkan dikompres ke dalam arsip yang dilindungi kata sandi menggunakan WinRAR dan kemudian diunggah ke layanan penyimpanan cloud seperti File.io.
“Waktu tunggu yang diperpanjang dan pendekatan yang penuh perhitungan ini menggarisbawahi kecanggihan dan kegigihan para pelaku ancaman,” kata perusahaan itu. “Lokasi geografis organisasi yang menjadi sasaran, serta penggunaan alat yang sebelumnya terkait dengan kelompok APT yang berbasis di Tiongkok, menunjukkan bahwa kegiatan ini adalah pekerjaan para aktor yang berbasis di Tiongkok.”
Perlu dicatat bahwa ambiguitas dalam mengaitkan serangan-serangan ini dengan pelaku ancaman tertentu di Tiongkok menggarisbawahi sulitnya melacak kelompok spionase dunia maya ketika mereka sering berbagi alat dan menggunakan cara yang serupa.
Ketegangan geopolitik di Asia Tenggara akibat sengketa wilayah yang sedang berlangsung di Laut Cina Selatan telah dilengkapi dengan serangkaian serangan siber yang menargetkan wilayah tersebut, sebagaimana dibuktikan oleh kelompok aktivitas ancaman yang terlacak seperti Unfading Sea Haze, Mustang Panda, CeranaKeeper, dan Operation Crimson Palace.
Perkembangan ini terjadi sehari setelah SentinelOne SentinelLabs dan Tinexta Cyber mengungkapkan serangan yang dilakukan oleh kelompok spionase siber China-nexus yang menargetkan penyedia layanan TI bisnis-ke-bisnis besar di Eropa Selatan sebagai bagian dari kelompok aktivitas yang disebut Operation Digital Eye.
Pekan lalu, Symantec juga mengungkapkan bahwa sebuah organisasi besar AS yang tidak disebutkan namanya telah dibobol oleh kemungkinan pelaku ancaman Tiongkok antara bulan April dan Agustus 2024, selama waktu tersebut mereka berpindah secara lateral melintasi jaringan, membahayakan banyak komputer dan berpotensi melakukan eksfiltrasi data.
