TEMPO.CO, Jakarta - Sebuah laporan menyebutkan kini jurnalis yang meliput Korea Utara menjadi target serangan malware dengan tujuan akhir menyebarkan pintu belakang pada sistem Windows yang terinfeksi.

Penyusupan dengan cara spear phising disebut merupakan karya Ricochet Chollima, yang mengakibatkan penyebaran jenis malware baru yang dinamakan GOLDBACKDOOR, sebuah artefak yang berbagi tumpang tindih teknis dengan malware lain bernama BLUELIGHT, yang sebelumnya telah ditautkan ke grup.

Spear phishing adalah email atau penipuan komunikasi elektronik yang ditargetkan terhadap individu, organisasi, atau bisnis tertentu. Meskipun sering dimaksudkan untuk mencuri data untuk tujuan jahat, penjahat dunia maya mungkin juga berniat untuk memasang malware di komputer pengguna yang ditargetkan.

“Wartawan adalah target bernilai tinggi bagi pemerintah yang bermusuhan,” kata perusahaan keamanan siber Stairwell dalam sebuah laporan yang diterbitkan pekan lalu. "Mengkompromikan seorang jurnalis dapat memberikan akses ke informasi yang sangat sensitif dan memungkinkan serangan tambahan terhadap sumber mereka."

Ricochet Chollima, juga dikenal sebagai APT37, InkySquid, dan ScarCruft, telah terlibat dalam serangan spionase setidaknya sejak 2016. Aktor ancaman memiliki rekam jejak menargetkan Republik Korea dengan catatan fokus pada pejabat pemerintah, organisasi non-pemerintah, akademisi, jurnalis, dan pembelot Korea Utara.

Pada November 2021, Kaspersky menemukan bukti kru peretas yang mengirimkan implan yang sebelumnya tidak didokumentasikan bernama Chinotto sebagai bagian dari gelombang baru serangan pengawasan yang sangat bertarget, sementara operasi sebelumnya lainnya telah menggunakan alat akses jarak jauh yang disebut BLUELIGHT.

Investigasi Stairwell terhadap kampanye tersebut dilakukan beberapa minggu setelah NK News mengungkapkan bahwa pesan iming-iming dikirim dari alamat email pribadi milik mantan pejabat intelijen Korea Selatan, yang pada akhirnya mengarah pada penyebaran pintu belakang dalam proses infeksi multi-tahap untuk menghindari deteksi.

Pesan email ditemukan berisi tautan untuk mengunduh arsip ZIP dari server jarak jauh yang dirancang untuk meniru portal berita yang berfokus pada Korea Utara. Tertanam di dalam file adalah file pintasan Windows yang bertindak sebagai titik awal untuk mengeksekusi skrip PowerShell, yang membuka dokumen umpan sekaligus menginstal pintu belakang GOLDBACKDOOR.

Implan, pada bagiannya, dibuat sebagai file Portable Executable yang mampu mengambil perintah dari server jarak jauh, mengunggah dan mengunduh file, merekam file, dan menghapus sendiri dari mesin yang disusupi dari jarak jauh.

"Selama 10 tahun terakhir, Republik Rakyat Demokratik Korea (DPRK) telah mengadopsi operasi siber sebagai sarana utama untuk mendukung rezim tersebut," kata Silas Cutler dari Stairwell.

"Sementara perhatian yang signifikan telah diberikan pada penggunaan operasi ini sebagai sarana untuk mendanai program militer DPRK, penargetan para peneliti, pembangkang, dan jurnalis kemungkinan tetap menjadi area utama untuk mendukung operasi intelijen negara."

Baca:
Awas Malware, Jangan Gunakan Alat Akses Play Store untuk Windows 11

Selalu update info terkini. Simak breaking news dan berita pilihan dari Tempo.co di kanal Telegram “Tempo.co Update”. Klik https://t.me/tempodotcoupdate untuk bergabung. Anda perlu meng-install aplikasi Telegram terlebih dahulu.