Sebanyak 14.971 situs WordPress berhasil dibersihkan dari infeksi malware SocGholish dalam sebuah operasi global yang melibatkan lembaga penegak hukum dari empat negara. Operasi yang digelar pada 18 Juni 2026 ini dikoordinasikan oleh Europol dan Eurojust, dengan partisipasi NHCTU Belanda, RCMP Kanada, FBI Amerika Serikat, serta BKA Jerman.
Baca Juga: 24 Miliar Kredensial Bocor, Ancaman Serius Pengambilalihan Akun!
Selain membersihkan ribuan situs, lebih dari 100 server dan domain yang digunakan oleh infrastruktur kriminal SocGholish berhasil diambil alih.
Dilansir dari Security Affairs, aksi gabungan ini memberikan pukulan besar terhadap jaringan SocGholish yang telah lama beroperasi. Dalam siaran pers, disebutkan, “Dalam beberapa hari terakhir, Belanda (NHCTU), Kanada (RCMP), Amerika Serikat (FBI) dan Jerman (BKA), dengan dukungan dari Europol dan Eurojust, memberikan pukulan besar terhadap infrastruktur kriminal SocGholish selama minggu aksi bersama.”
Baca Juga: miHoYo Umumkan AI Companion ‘BSide: Olivia Lin’ Gratis di Steam
Kelompok di balik SocGholish, yang dikenal sebagai TA569, telah menjadi salah satu ancaman siber paling menonjol. Proofpoint melacak kelompok ini sejak tahun 2018 dan mencatatnya sebagai broker akses awal (initial access broker) yang telah menginfeksi banyak situs untuk menyebarkan ransomware. “TA569 adalah salah satu kelompok ancaman siber paling menonjol dalam data ancaman Proofpoint, yang telah dilacak oleh peneliti kami sejak 2018,” kata Proofpoint. Kelompok ini dikaitkan dengan keluarga ransomware seperti WastedLocker, LockBit, dan RansomHub.
Skala ancaman ini sangat besar. Pada Mei 2026, ShadowServer menemukan lebih dari 1,44 juta situs WordPress yang telah dikompromi dan siap digunakan oleh SocGholish.
Sementara itu, Infoblox melaporkan bahwa sekitar 55% pelanggan cloud miliknya sudah terpapar SocGholish sepanjang tahun ini.
TA569 menggunakan berbagai metode untuk menginfeksi situs. Mereka melakukan penyemprotan kata sandi, memanfaatkan kredensial yang dicuri, mengeksploitasi kerentanan pada plugin dan tema WordPress, serta memanfaatkan kelemahan pada dependensi pihak ketiga.
Setelah berhasil masuk, mereka membangun persistensi dengan menambahkan akun admin baru, memasang pintu belakang (backdoor) PHP, serta plugin palsu yang dirancang untuk menyembunyikan diri.
Rantai pengiriman malware melibatkan TA2726 sebagai penyedia layanan distribusi malware (TDS). Mereka menyuntikkan JavaScript yang sangat dikaburkan melalui plugin WordPress palsu, yang kemudian memuat kode SocGholish.
Sebelum mengirimkan muatan berbahaya, SocGholish melakukan profiling terhadap pengunjung situs. Malware ini memeriksa apakah pengunjung menggunakan peramban otomatis, membuka alat pengembang, pernah mengunjungi situs sebelumnya, atau sesi admin WordPress.
Bahkan, malware menunggu hingga ada pergerakan mouse minimal 10 kali sebelum melancarkan aksinya.
Pengguna yang lolos profiling kemudian diarahkan untuk mengunduh file bernama GhoLoader Stage 1, sebuah JScript WSH yang berkomunikasi dengan server C2. CERT Orange Cyber Defense mengamati bahwa SocGholish mengirimkan pemuat yang mengarah ke pintu belakang GhostWeaver, ransomware LockBit dan RansomHub, serta malware jarak jauh seperti AsyncRAT dan NetSupport RAT.
Setelah operasi pembersihan, notifikasi dikirimkan kepada pemilik situs WordPress yang kredensialnya bocor. Mereka didesak untuk segera mengubah kata sandi, mengaktifkan autentikasi multi-faktor (MFA), menghapus akun mencurigakan, dan memperbarui semua perangkat lunak.
Bagi administrator WordPress, langkah remediasi yang disarankan antara lain mengaktifkan MFA, membatasi akses ke wp-admin, menghapus plugin dan tema yang tidak digunakan, memblokir eksekusi PHP di direktori unggahan, serta memantau integritas file. Membersihkan hanya kode yang disuntikkan tanpa mengubah kata sandi dan menghapus akun admin basi bukanlah tindakan remediasi yang cukup, melainkan hanya penundaan.
Proofpoint mencatat bahwa teknik injeksi web yang dipopulerkan oleh TA569 kini telah diadopsi oleh hampir selusin klaster ancaman lain, termasuk ClearFake, ZPHP, dan ErrTraffic. Tren ini meningkat pesat sejak tahun 2023.
Meski demikian, TA2726 yang menyediakan layanan TDS tidak menjadi target langsung dalam operasi penindakan kali ini.
Baca Juga: Malware Android Rokarolla Mengintai 217 Aplikasi Bank dan Kripto
Operasi global ini menjadi pengingat pentingnya menjaga keamanan situs WordPress, tidak hanya dengan rutin memperbarui komponen, tetapi juga menerapkan langkah-langkah keamanan proaktif untuk mencegah infeksi serupa di masa depan.
Leave a Comment