TEMPO.CO, Jakarta - ESET, perusahaan perangkat lunak produk anti-virus dan firewall, menggelar acara tahunan ESET World 2021, akhir pekan lalu. Dalam acara konferensi secara virtual itu para peneliti ESET menemukan aktivitas spionase dunia maya yang bergerak di bawah radar. Aktivitas berbahaya ini bernama Gelsemium.
Pada pertengahan 2020, peneliti ESET mulai menganalisis beberapa operasi cyber, yang kemudian dikaitkan dengan grup Gelsemium, dan melacak versi paling awal dari malware tersebut hingga 2014. Korban-korban operasi ini berlokasi di kawasan Asia dan berasal dari berbagai sektor.
“Seluruh rantai Gelsemium mungkin tampak sederhana pada awalnya. Tapi jumlah konfigurasi yang lengkap, ditanamkan pada setiap tahap, dapat mengubah pengaturan untuk muatan akhir, sehingga lebih sulit untuk dipahami,” ucap peneliti ESET Thomas Dupuy, yang aktif melakukan analisis penelitian Gelsemium.
Beberapa fakta menarik yang terungkap dari riset ESET, antara lain Gelsemium adalah grup spionase cyber yang aktif sejak 2014. Gelsemium berada di balik serangan rantai pasokan terhadap BigNox, yang sebelumnya dilaporkan sebagai Operation NightScout. Ditemukan versi baru Gelsemium, malware kompleks dan modular, yang kemudian disebut sebagai Gelsemine, Gelsenicine, dan Gelsevirine.
Belum lama ini para gamer di Asia terguncang oleh kabar bahwa NoxPlayer, emulator Android untuk PC dan laptop yang populer di Asia, termasuk di Indonesia, mengirimkan malware ke PC penggunanya.
Yang dikirimkan berupa pembaruan berbahaya yang berasal dari infrastruktur backend milik NoxPlayer yang di dalamnya diketahui mengandung kode-kode tertentu yang membahayakan komputer.
Hasil investigasi ESET melaporkan bahwa setidaknya ada tiga varian yang membahayakan pengguna emulator NoxPlayer. Malware tersebut dapat merekam apa saja yang diketik, mengambil file, dan mematai-matai dari jarak jauh.
Dengan sendirinya ratusan juta pengguna NoxPlayer, yang sebagian besar berada di Asia, merupakan terget yang secara khusus mengincar komunitas game emulator tersebut. Melalui riset mendalam dalang di balik serangan spionase ini tidak lain adalah Gelsemium.
Upaya untuk terus menyebar malware dengan tujuan menyerap berbagai informasi di seluruh Asia terus bergerak dalam senyap di bawah radar. Mereka melakukannya sejak tujuh tahun lalu dan punya skema yang jelas ke mana arah tujuan spionase mereka.
Gelsemium sangat ditargetkan, menurut telemetri ESET dan mempertimbangkan kemampuannya, ini menunjukkan kesimpulan bahwa kelompok tersebut terlibat dalam banyak spionase dunia maya. Kelompok ini memiliki sejumlah besar komponen yang dapat beradaptasi dalam berbagai ekosistem.
Gelsemium menggunakan tiga komponen dan sistem plug-in untuk memberi operator berbagai kemungkinan untuk mengumpulkan informasi: dropper Gelsemine, loader Gelsenicine, dan plugin utama Gelsevirine.
Gelsemium baru ini juga memiliki tugas baru, yaitu untuk mengambil informasi dari target-target baru yang mencakup pemerintah, universitas, produsen elektronik, dan organisasi keagamaan di Asia.
Menanggapi gencarnya serangan spionase di dunia maya, IT Security Consultant PT Prosperita Mitra Indonesia, Yudhi Kukuh, mengatakan: “Konsep serangan spionase Gelsemium sangat eksklusif, mereka memburu setiap target mereka dengan hati-hati dan fokus.”
Kasus NoxPlayer misalnya, dari sejumlah unduhan pembaruan yang beredar hanya segelintir yang disusupi spyware dan uniknya tidak ditemukan korelasi yang menunjukkan hubungan antara korban. Alur yang mereka bangun disusun sangat rapi dan rahasia menunjukkan betapa fokusnya mereka.”
![Gambar mikroskop elektron pemindaian ini menunjukkan SARS-CoV-2 (obyek bulat biru), juga dikenal sebagai novel coronavirus, virus yang menyebabkan Covid-19, muncul dari permukaan sel yang dikultur di laboratorium yang diisolasi dari pasien di AS. [NIAID-RML / Handout melalui REUTERS]](https://statik.tempo.co/data/2020/12/20/id_988970/988970_720.jpg)
