Sebuah kelompok spionase dunia maya yang dikenal sebagai Ammit Bumi telah dikaitkan dengan dua kampanye terkait tetapi berbeda dari tahun 2023 hingga 2024 yang menargetkan berbagai entitas di Taiwan dan Korea Selatan, termasuk sektor militer, satelit, industri berat, media, teknologi, layanan perangkat lunak, dan sektor perawatan kesehatan.
Perusahaan cybersecurity Trend Micro mengatakan gelombang pertama, dengan nama kode racun, terutama penyedia layanan perangkat lunak yang ditargetkan, sedangkan gelombang kedua, yang disebut Tidrone, memilih industri militer. Ammit Bumi dinilai terhubung dengan kelompok-kelompok negara berbahasa Cina.
“Dalam kampanye racunnya, pendekatan Earth Ammit melibatkan menembus segmen hulu dari rantai pasokan drone,” kata peneliti keamanan Pierre Lee, Vickie Su, dan Philip Chen. “Tujuan jangka panjang Earth Ammit adalah untuk mengkompromikan jaringan tepercaya melalui serangan rantai pasokan, memungkinkan mereka untuk menargetkan entitas bernilai tinggi di hilir dan memperkuat jangkauan mereka.”
Kampanye Tidrone pertama kali diekspos oleh Trend Micro tahun lalu, merinci serangan cluster pada produsen drone di Taiwan untuk memberikan malware khusus seperti CXCLNT dan Clntend. Laporan berikutnya dari Ahnlab pada bulan Desember 2024 merinci penggunaan Clntend terhadap perusahaan Korea Selatan.
Serangan itu patut diperhatikan karena menargetkan rantai pasokan drone, memanfaatkan perangkat lunak Perencanaan Sumber Daya Perusahaan (ERP) untuk melanggar industri militer dan satelit. Insiden tertentu juga melibatkan penggunaan saluran komunikasi tepercaya – seperti pemantauan jarak jauh atau alat manajemen TI – untuk mendistribusikan muatan berbahaya.
Kampanye racun, per tren mikro, ditandai dengan eksploitasi kerentanan server web untuk menjatuhkan shells web, dan kemudian mempersenjatai akses untuk menginstal jarak akses jarak jauh (tikus) untuk akses persisten ke host yang dikompromikan. Penggunaan alat open-source seperti Revsock dan Sliver dalam serangan dipandang sebagai upaya yang disengaja untuk memadukan upaya atribusi.
Satu-satunya malware yang dipesan lebih dahulu yang diamati dalam kampanye Venom adalah VenFRPC, versi FRPC yang disesuaikan, yang, dengan sendirinya, adalah versi modifikasi dari alat proxy reverse (FRP) sumber terbuka sumber terbuka.
Tujuan akhir dari kampanye ini adalah untuk memanen kredensial dari lingkungan yang dilanggar dan menggunakan informasi curian sebagai batu loncatan untuk menginformasikan fase berikutnya, Tidrone, yang ditujukan untuk pelanggan hilir. Kampanye Tidrone tersebar di tiga tahap –
- Akses Awal, yang mencerminkan kampanye racun dengan menargetkan penyedia layanan untuk menyuntikkan kode berbahaya dan mendistribusikan malware ke pelanggan hilir
- Perintah-dan-kontrol, yang memanfaatkan loader dll untuk menjatuhkan cxclnt dan clntend backdoors
- Pasca eksploitasi, yang melibatkan pengaturan kegigihan, meningkatkan hak istimewa, menonaktifkan perangkat lunak antivirus menggunakan truesightkiller, dan memasang alat penangkap tangkapan layar yang dijuluki screencap menggunakan clntend
“Fungsi inti CXCLNT tergantung pada sistem plugin modular. Setelah dieksekusi, ia mengambil plugin tambahan dari server C&C untuk memperluas kemampuannya secara dinamis,” kata Trend Micro. “Arsitektur ini tidak hanya mengaburkan tujuan sebenarnya dari pintu belakang selama analisis statis tetapi juga memungkinkan operasi yang fleksibel dan sesuai permintaan berdasarkan tujuan penyerang.”
CXCLNT dikatakan telah digunakan dalam serangan sejak setidaknya 2022. Clntend, pertama kali terdeteksi pada tahun 2024, adalah penggantinya dan dilengkapi dengan serangkaian fitur yang diperluas untuk menghindari deteksi.
Hubungan antara racun dan tidrone berasal dari korban bersama dan penyedia layanan dan infrastruktur komando dan kontrol yang tumpang tindih, menunjukkan bahwa aktor ancaman umum berada di belakang kedua kampanye. Trend Micro mengatakan taktik, teknik, dan prosedur kru peretasan (TTP) menyerupai yang digunakan oleh kelompok peretasan negara-bangsa Cina lainnya yang dilacak sebagai Dalbit (alias M00NLIGH), yang menunjukkan toolkit bersama.
“Kemajuan ini menggarisbawahi strategi yang disengaja: Mulai luas dengan alat berbiaya rendah dan berisiko rendah untuk membangun akses, kemudian berputar untuk kemampuan yang disesuaikan untuk intrusi yang lebih bertarget dan berdampak,” kata para peneliti. “Memahami pola operasional ini akan sangat penting dalam memprediksi dan mempertahankan ancaman di masa depan dari aktor ini.”
Jepang dan Taiwan ditargetkan oleh angsa vektor
Pengungkapan itu datang ketika Seqrite Labs mengungkapkan rincian kampanye spionase cyber yang dijuluki vektor angsa yang menargetkan lembaga pendidikan dan industri teknik mesin di Taiwan dan Jepang dengan umpan resume palsu yang didistribusikan melalui email pemogokan phishing untuk mengirimkan pajanan DLL yang disebut pterois, yang kemudian digunakan untuk mengunduh kobalte-fishing untuk mengirimkan DLL yang disebut PTEROIS, yang kemudian digunakan untuk mengunduh Cobalt-fishing untuk mengirimkan DLL.
Pterois juga direkayasa untuk diunduh dari Google Drive malware lain yang disebut Isurus yang kemudian bertanggung jawab untuk melaksanakan kerangka kerja Cobalt Strike Post-Exploitation. Kampanye ini telah dikaitkan dengan aktor ancaman Asia Timur dengan kepercayaan sedang.
“Aktor ancaman ini berbasis di Asia Timur dan telah aktif sejak Desember 2024 yang menargetkan beberapa entitas berbasis perekrutan di Taiwan dan Jepang,” kata peneliti keamanan Subhajeet Singha.
“Aktor ancaman bergantung pada pengembangan kustom dari implan yang terdiri dari pengunduh, pemuatan shellcode, dan cobalt mogok sebagai alat utama mereka dengan sangat mengandalkan teknik penghindaran beberapa hashing API, panggilan langsung, callback fungsi, pemuatan samping DLL, dan penghapus diri untuk menghindari meninggalkan jenis jejak pada mesin target.”
