Peneliti Ungkap Hacker RedFoxtrot Terkait dengan Intelijen Militer China, Targetkan Negara Tetangga

Cyberthreat.id - Serangkaian kampanye spionase dunia maya sejak tahun 2014 yng berfokus pada pengumpulan intelijen militer dari negara-negara tetangga telah dikaitkan dengan aparat intelijen militer China.

Dalam laporan yang diterbitkan oleh Recorded Future yang bermarkas di Massachusetts minggu ini, Insikt Group dari perusahaan keamanan siber mengatakan mereka mengidentifikasi hubungan antara kelompok yang disebut sebagai "RedFoxtrot" dengan Unit 69010 Tentara Pembebasan Rakyat (PLA) yang beroperasi di Urumqi, ibukota Daerah Otonomi Uyghur Xinjiang di negara itu.

Koneksi ke Unit 69010 PLA ​​berasal dari apa yang dikatakan peneliti sebagai "langkah-langkah keamanan operasional yang longgar" yang diadopsi oleh aktor ancaman RedFoxtrot yang tidak disebutkan namanya, yang persona onlinenya mengungkapkan alamat fisik biro mata-mata dan memiliki sejarah afiliasi dengan eks Akademi Komando Komunikasi PLA di Wuhan.

RedFoxtrot tercatat menargetkan sektor pemerintah, pertahanan, dan telekomunikasi di seluruh Asia Tengah, India, dan Pakistan. Dalam enam bulan terakhir, gangguan ditujukan terhadap tiga kontraktor kedirgantaraan dan pertahanan India serta penyedia telekomunikasi utama dan lembaga pemerintah di Afghanistan, India, Kazakstan, dan Pakistan.

"Aktivitas selama periode ini menunjukkan fokus khusus pada target India, yang terjadi pada saat ketegangan perbatasan meningkat antara India dan Republik Rakyat China," kata para peneliti seperti dilaporkan The Hacker News, Sabtu (19 Juni 2021).

Serangan yang dilakukan melibatkan berbagai macam alat sumber terbuka dan tertutup yang telah dibagikan di seluruh kelompok spionase siber China, termasuk PlugX, senjata RTF Royal Road, QUICKHEAL, PCShare, IceFog, dan Poison Ivy RAT.

Peneliti juga mengamati penggunaan infrastruktur AXIOMATICASYMPTOTE, yang mencakup pintu belakang Windows modular yang disebut ShadowPad. Ini sebelumnya dikaitkan dengan APT41 dan kemudian dibagikan di antara aktor-aktor lain yang didukung negara Tiongkok.

Selain itu, domain yang didaftarkan oleh RedFoxtrot — "inbsnl.ddns[.]info" dan "adtl.mywire[.]org" — menunjukkan bahwa pelaku ancaman mungkin telah mengarahkan perhatiannya pada penyedia layanan telekomunikasi India Bharat Sanchar Nigam Limited (BSNL) dan sebuah perusahaan yang berbasis di Bengaluru bernama Alpha Design Technologies Limited (ADTL) yang mengkhususkan diri dalam penelitian dan pengembangan sistem rudal, radar, dan satelit.

Perkembangan tersebut terjadi lebih dari tiga bulan setelah kelompok ancaman terkait China lainnya, yang dijuluki RedEcho, ditemukan menargetkan jaringan listrik India, termasuk pembangkit listrik yang dijalankan oleh National Thermal Power Corporation (NTPC) Limited dan Power System Operation Corporation Limited yang berbasis di New Delhi.[]