Dunia keamanan siber kembali dihadapkan pada ancaman serius. Kaspersky mengungkap serangkaian serangan siber kompleks yang memanfaatkan berbagai platform.
Serangan memanfaatkan platform seperti GitHub, Quora, Microsoft Learn Challenge, dan bahkan media sosial untuk meluncurkan malware berbahaya ke dalam sistem organisasi.
Serangan ini pertama kali terdeteksi pada paruh kedua tahun 2024 dan masih berlangsung hingga pertengahan 2025. Target utamanya adalah organisasi skala menengah hingga besar yang tersebar di China, Jepang, Malaysia, Peru, dan Rusia.
Baca juga: NOVA, AI Canggih dari Baidu yang Bisa Menjadi Host Livestream
Pola serangan ini menjadi contoh nyata bagaimana pelaku ancaman memanfaatkan platform umum untuk menyamarkan aktivitas berbahaya mereka agar tidak terdeteksi sistem keamanan tradisional.
Spear Phishing dan Malware Tersembunyi
Serangan dimulai dengan email spear phishing yang disamarkan sebagai komunikasi resmi dari perusahaan besar, khususnya di sektor energi dan sumber daya alam seperti minyak dan gas.
Email tersebut berisi ketertarikan terhadap produk atau layanan dari organisasi target, dan dilengkapi dengan lampiran mencurigakan.
Lampiran ini berbentuk arsip yang tampaknya berisi dokumen PDF biasa, seperti daftar kebutuhan produk. Namun, setelah dibuka, dokumen tersebut ternyata adalah file .EXE atau .DLL yang mampu mengeksekusi kode berbahaya ke dalam sistem korban.
Setelah dijalankan, malware memanfaatkan Crash Reporting Send Utility yaitu alat sah yang biasanya digunakan pengembang untuk mengumpulkan data kerusakan aplikasi.
Melalui teknik pembajakan Dynamic Link Library (DLL), penyerang mengelabui sistem dan memicu eksekusi otomatis malware.
Gunakan GitHub dan Media Sosial untuk Hindari Deteksi
Yang membuat serangan ini semakin berbahaya adalah bagaimana para pelaku menyimpan kode jahat di berbagai platform populer dan publik, termasuk profil GitHub, postingan di Microsoft Learn Challenge, dan forum seperti Quora.
Bahkan, beberapa media sosial Rusia turut dimanfaatkan sebagai tempat menyembunyikan tautan terenkripsi yang mengarah ke file berbahaya.
Semua akun dan halaman tersebut dibuat khusus untuk menjalankan operasi ini, bukan akun pengguna asli.
Namun Kaspersky memperingatkan bahwa ke depannya, bukan tidak mungkin pelaku akan mulai menggunakan akun sungguhan untuk menyisipkan malware, misalnya dengan menyusupkan tautan di kolom komentar pengguna lain yang sah.
Baca juga: Tingkatkan Keamanan Konsumen, Indonesia Luncurkan Chapter GASA, Apa itu?
Setelah kode berhasil dijalankan, sistem korban akan secara otomatis meluncurkan Cobalt Strike Beacon, alat populer dalam dunia siber yang memungkinkan pelaku:
- Mengendalikan komputer dari jarak jauh,
- Menjalankan perintah sistem,
- Mencuri data sensitif, dan
- Mempertahankan akses secara terus-menerus ke dalam jaringan internal.
Kaspersky mencatat bahwa metode serangan ini memiliki kemiripan dengan teknik yang digunakan dalam serangan EastWind, yang sebelumnya dikaitkan dengan kelompok hacker berbahasa Mandarin.
Pola ini menunjukkan bahwa pelaku ancaman tidak hanya kreatif, tapi juga terorganisir dan berpengalaman dalam menjalankan operasi jangka panjang.
Melihat pola serangan yang semakin rumit dan sulit dikenali, Kaspersky menyarankan organisasi untuk memperkuat keamanan digital mereka dengan beberapa langkah penting:
- Pantau status infrastruktur TI secara rutin, termasuk perimeter jaringan.
- Gunakan solusi keamanan siber canggih yang mampu mendeteksi malware tersembunyi dalam email.
- Edukasi dan latih karyawan agar paham akan bahaya phishing dan cara mendeteksinya.
- Pasang sistem keamanan komprehensif yang dapat mendeteksi dan menghentikan serangan sejak tahap awal.
Maxim Starodubov, Kepala Tim Analis Malware di Kaspersky, menegaskan pentingnya intelijen ancaman terkini.
“Ancaman siber terus berevolusi. Pelaku menggunakan metode yang semakin kompleks untuk menyembunyikan alat-alat lama. Memahami perkembangan teknik mereka adalah kunci agar kita tidak menjadi korban berikutnya,” ujarnya.
Kasus ini menjadi pengingat bahwa ancaman siber tidak lagi datang dari perangkat lunak berbahaya yang mencolok.
Kini, platform publik yang kita percaya seperti GitHub dan media sosial pun bisa dimanfaatkan oleh pelaku kejahatan untuk menyebar malware dengan cara yang sangat halus.
