Aktor ancaman terkait Tiongkok yang dikenal sebagai Earth Estries telah diamati menggunakan pintu belakang (backdoor) yang sebelumnya tidak terdokumentasi bernama GHOSTSPIDER sebagai bagian dari serangannya yang menargetkan perusahaan telekomunikasi di Asia Tenggara.
Trend Micro, yang menggambarkan kelompok peretas tersebut sebagai ancaman persisten tingkat lanjut yang agresif (APT), mengatakan bahwa intrusi tersebut juga melibatkan penggunaan pintu belakang lintas platform lainnya yang dijuluki MASOL RAT (alias Backdr-NQ) pada sistem Linux milik jaringan pemerintah Asia Tenggara.
Secara keseluruhan, Earth Estries diperkirakan telah berhasil menyusupi lebih dari 20 entitas yang mencakup sektor telekomunikasi, teknologi, konsultasi, kimia, dan transportasi, lembaga pemerintah, dan sektor organisasi nirlaba (LSM).
Korban telah diidentifikasi di lebih dari selusin negara, termasuk Afghanistan, Brasil, Eswatini, India, india, Malaysia, Pakistan, Filipina, Afrika Selatan, Taiwan, Thailand, Amerika Serikat, dan Vietnam.
Saham Earth Estries tumpang tindih dengan cluster yang dilacak oleh vendor keamanan siber lainnya dengan nama FamousSparrow, GhostEmperor, Salt Typhoon, dan UNC2286. Dikatakan aktif setidaknya sejak tahun 2020, memanfaatkan berbagai jenis malware untuk menembus entitas telekomunikasi dan pemerintah di AS, kawasan Asia-Pasifik, Timur Tengah, dan Afrika Selatan.
Menurut laporan dari The Washington Post pekan lalu, kelompok peretas tersebut diyakini telah menyusup ke lebih dari selusin perusahaan telekomunikasi di AS saja. Sebanyak 150 korban telah diidentifikasi dan diberitahu oleh pemerintah AS.
Rantai infeksi rootkit DEMODEX |
Beberapa alat penting dalam portofolio malware-nya termasuk rootkit Demodex dan Deed RAT (alias SNAPPYBEE), yang diduga merupakan penerus ShadowPad, yang telah banyak digunakan oleh beberapa grup APT Tiongkok. Juga dimanfaatkan oleh pelaku ancaman pintu belakang dan pencuri informasi seperti Crowdoor, SparrowDoor, HemiGate, TrillClient, dan Zingdoor.
Akses awal ke jaringan target difasilitasi oleh eksploitasi kelemahan keamanan N-hari di Ivanti Connect Secure (CVE-2023-46805 dan CVE-2024-21887), Fortinet FortiClient EMS (CVE-2023-48788), Sophos Firewall (CVE- 2022-3236), Microsoft Exchange Server (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, dan CVE-2021-27065, alias ProxyLogon).
Aliran infeksi GHOSTSPIDER |
Serangan tersebut kemudian membuka jalan bagi penyebaran malware khusus seperti Deed RAT, Demodex, dan GHOSTSPIDER untuk melakukan aktivitas spionase dunia maya dalam jangka panjang.
“Earth Estries adalah kelompok yang terorganisir dengan baik dengan pembagian kerja yang jelas,” kata peneliti keamanan Leon M Chang, Theo Chen, Lenart Bermejo, dan Ted Lee. “Berdasarkan pengamatan dari berbagai kampanye, kami berspekulasi bahwa serangan yang menargetkan wilayah dan industri berbeda diluncurkan oleh aktor berbeda.”
“Selain itu, itu [command-and-control] infrastruktur yang digunakan oleh berbagai pintu belakang tampaknya dikelola oleh tim infrastruktur yang berbeda, sehingga semakin menyoroti kompleksitas operasi grup tersebut.”
Implan yang canggih dan multi-modular, GHOSTSPIDER berkomunikasi dengan infrastruktur yang dikendalikan penyerang menggunakan protokol khusus yang dilindungi oleh Transport Layer Security (TLS) dan mengambil modul tambahan yang dapat melengkapi fungsinya sesuai kebutuhan.
“Earth Estries melakukan serangan tersembunyi yang dimulai dari perangkat edge dan meluas ke lingkungan cloud, sehingga membuat pendeteksiannya menjadi sulit,” kata Trend Micro.
“Mereka menggunakan berbagai metode untuk membangun jaringan operasional yang secara efektif menyembunyikan aktivitas spionase dunia maya, menunjukkan tingkat kecanggihan yang tinggi dalam pendekatan mereka untuk menyusup dan memantau target sensitif.”
Perusahaan telekomunikasi telah menjadi sasaran beberapa kelompok ancaman yang terkait dengan Tiongkok seperti Granite Typhoon dan Liminal Panda dalam beberapa tahun terakhir.
Perusahaan keamanan siber CrowdStrike mengatakan kepada The Hacker News bahwa serangan tersebut menyoroti kematangan program siber Tiongkok yang signifikan, yang telah beralih dari serangan terisolasi ke pengumpulan data massal dan penargetan jangka panjang terhadap Penyedia Layanan Terkelola (MSP), Penyedia Layanan Internet (ISP), dan penyedia platform.