Benarkah Cyber Spionase Negara China Menyerang Asia?
Ilustrasi.
Cyberthreat.id - Peneliti keamanan cyber mengaitkan serangan cyber terhadap organisasi dan kelompok etnis di Asia dengan aktor ancaman tunggal yang dituding melayani kepentingan geopolitik China dan terhubung dengan aparat cyberespionage yang disponsori negara.
Para peneliti dari Palo Alto Networks Unit-42 menyebut kelompok penyerang berjuluk PKPLUG yang beroperasi selama tiga tahun terakhir. Peneliti menemukan tautan ke kampanye serangan lama yang dilaporkan secara independen oleh perusahaan lain selama enam tahun terakhir.
Laman SC Magazine menuliskan bahwa program malware khusus yang dikaitkan dengan PKPLUG mencakup trojan akses jarak jauh PlugX, malware Android HenBox, Windows backdoor Farseer, 9002 RAT. PKPLUG juga terkait dengan Poison Ivy RAT dan Zupdax backdoor yang tersedia untuk umum.
Menurut peneliti, ini adalah pertama kalinya semua serangan ini diikat di bawah satu aktor ancaman. “Kami percaya para korban kebanyakan berada di dan sekitar kawasan Asia Tenggara, khususnya Myanmar, Taiwan Vietnam, dan Indonesia, dan kemungkinan juga di berbagai daerah lain di Asia, seperti Tibet, Xinjiang, dan Mongolia,” kata para peneliti dalam sebuah laporan baru dirilis kemarin sebagaimana dikutip laman CS Online.
"Berdasarkan penargetan, konten dalam beberapa malware dan hubungan dengan infrastruktur yang sebelumnya didokumentasikan secara publik sebagai terhubung dengan musuh negara-bangsa China, Unit 42 percaya dengan keyakinan tinggi bahwa PKPLUG memiliki asal yang sama."
Namun, Unit 42 tidak sepenuhnya yakin bahwa PKPLUG adalah aktor ancaman tunggal atau beberapa kelompok yang berbagi TTP yang sama. Namun, para peneliti telah menilai dengan keyakinan tinggi bahwa mereka mendapat dukungan pemerintah China.
"Tidak sepenuhnya jelas mengenai tujuan akhir PKPLUG, tetapi memasang backdoor Trojan pada sistem korban, termasuk perangkat seluler, menyimpulkan pelacakan korban dan mengumpulkan informasi adalah tujuan utama," kata Alex Hinchliffe, analis intelijen ancaman, EMEA, dalam sebuah posting blog yang merinci konten playbook.
Menurut Unit 42, aktivitas PKPLUG yang paling awal dikonfirmasi dilaporkan oleh Blue Coat Labs November 2013 dan melibatkan kampanye PlugX yang diluncurkan terhadap target Mongolia. Dalam serangan khusus ini, para aktor menggunakan dokumen Word yang dipersenjatai yang disimpan sebagai Halaman Web File Tunggal (file MHT) untuk mengeksekusi eksploit yang menjatuhkan arsip WinRAR SFX yang berisi PlugX dan paket pemuatan sisi DLL. Malware PlugX sebenarnya diidentifikasi untuk pertama kalinya pada 2012.
Kemudian pada Februari 2019, ketika Unit 42 melaporkan penemuan Farseer, program backdoor yang dikirimkan melalui DLL side-loading. Farseer dirancang untuk mengkompromikan pengguna Windows dan bertindak sebagai alat cyberespionage yang menjadi rujukan bagi server perintah-dan-kontrol penyerang untuk mendapatkan instruksi.
Kegiatan Farseer termasuk dokumen umpan yang berisi berita politik yang berkaitan dengan Myanmar - meskipun para peneliti juga percaya PKPLUG telah menargetkan Mongolia dengan malware ini.
Antara November 2013 dan Februari 2019, Palo Alto Networks telah mengidentifikasi empat laporan tambahan oleh berbagai kelompok penelitian yang menunjukkan aktivitas PKPLUG yang lebih nyata.
Menurut Unit 42, berbagai kampanye ini telah menunjukkan beberapa kesamaan utama yang menunjukkan keterlibatan aktor yang sama, termasuk nama domain dan alamat IP yang dibagikan, dan sifat berbahaya yang serupa termasuk perilaku runtime program dan karakteristik kode statis.[]
