TEMPO.CO, Jakarta - Perusahaan keamanan siber Secureworks melaporkan adanya usaha peretasan yang disponsori pemerintah terkait Cina yang telah diamati menargetkan penutur bahasa Rusia dengan versi terbaru dari trojan akses jarak jauh yang disebut PlugX.
Secureworks mengaitkan upaya penyusupan dengan aktor ancaman yang dilacaknya sebagai Bronze President.
"Perang di Ukraina telah mendorong banyak negara untuk mengerahkan kemampuan siber mereka untuk mendapatkan wawasan tentang peristiwa global, intrik politik, dan motivasi," kata perusahaan keamanan siber itu dalam sebuah laporan yang dibagikan kepada The Hacker News. "Keinginan akan kesadaran situasional ini sering meluas hingga mengumpulkan intelijen dari sekutu dan 'teman'."
Bronze President, aktif setidaknya sejak Juli 2018, memiliki sejarah melakukan operasi spionase dengan memanfaatkan alat khusus dan tersedia untuk umum untuk berkompromi, mempertahankan akses jangka panjang, dan mengumpulkan data dari target yang diminati.
Andalan utama di antara alat-alatnya adalah PlugX, pintu belakang Windows yang memungkinkan pelaku ancaman untuk menjalankan berbagai perintah pada sistem yang terinfeksi dan yang telah digunakan oleh beberapa aktor yang disponsori negara Cina selama bertahun-tahun.
Temuan terbaru dari Secureworks menyarankan perluasan kampanye yang sama yang sebelumnya dirinci oleh Proofpoint dan ESET bulan lalu, yang telah melibatkan penggunaan varian baru PlugX dengan nama kode Hodur, sehingga diberi label karena tumpang tindih dengan versi lain yang disebut THOR yang muncul pada Juli 2021.
Rantai serangan dimulai dengan executable berbahaya bernama "Blagoveshchensk - Blagoveshchensk Border Detachment.exe" yang menyamar sebagai dokumen yang tampaknya sah dengan ikon PDF. Padahal ketika dibuka, mengarah ke penyebaran muatan PlugX terenkripsi dari server jauh.
"Blagoveshchensk adalah kota Rusia yang dekat dengan perbatasan Cina dan merupakan rumah bagi Detasemen Penjaga Perbatasan Spanduk Merah Blagoveshchenskiy ke-56," kata para peneliti. "Koneksi ini menunjukkan bahwa nama file itu dipilih untuk menargetkan pejabat atau personel militer yang akrab dengan wilayah tersebut."
Fakta bahwa pejabat Rusia mungkin menjadi target kampanye Maret 2022 menunjukkan bahwa aktor ancaman itu mengembangkan taktiknya dalam menanggapi situasi politik di Eropa dan perang di Ukraina.
"Menargetkan pengguna berbahasa Rusia dan entitas Eropa menunjukkan bahwa pelaku ancaman telah menerima tugas yang diperbarui yang mencerminkan persyaratan pengumpulan intelijen yang berubah dari [Republik Rakyat Cina]," kata para peneliti.
Temuan ini muncul beberapa minggu setelah kelompok negara-bangsa lain yang berbasis di Cina yang dikenal sebagai Nomad Panda (alias RedFoxtrot) dikaitkan dengan kepercayaan sedang terhadap serangan terhadap sektor pertahanan dan telekomunikasi di Asia Selatan dengan memanfaatkan versi lain dari PlugX yang dijuluki Talisman.
"PlugX telah dikaitkan dengan berbagai aktor Tiongkok dalam beberapa tahun terakhir," Trellix mencatat bulan lalu. "Fakta ini menimbulkan pertanyaan apakah basis kode malware dibagikan di antara berbagai kelompok yang didukung negara Cina."
"Di sisi lain, dugaan kebocoran pembuat PlugX v1, seperti yang dilaporkan oleh Airbus pada tahun 2015, menunjukkan bahwa tidak semua kemunculan PlugX harus dikaitkan dengan aktor Cina," tambah perusahaan keamanan siber itu.
Baca:
Mengenal Malware PlugX yang Meretas Jaringan Internal Kementerian di Indonesia
Selalu update info terkini. Simak breaking news dan berita pilihan dari Tempo.co di kanal Telegram “Tempo.co Update”. Klik https://t.me/tempodotcoupdate untuk bergabung. Anda perlu meng-install aplikasi Telegram terlebih dahulu.