Dunia keamanan siber kembali dihebohkan dengan penemuan kelompok Advanced Persistent Threat (APT) baru yang menggunakan pendekatan tidak biasa. Kaspersky, perusahaan keamanan siber global, mengungkap keberadaan Armored Likho, yang juga dilacak sebagai Eagle Werewolf.
Baca Juga: Serangan Dukungan TI Palsu via Microsoft Teams Sebarkan EtherRAT
Kelompok ini diduga memanfaatkan kecerdasan buatan (AI) untuk menghasilkan malware yang digunakan dalam serangan mereka.
Dilansir dari securityaffairs.com, Kaspersky mendokumentasikan bahwa Armored Likho menjalankan dua jalur serangan utama: serangan bermotif finansial terhadap individu pribadi dan spionase terhadap lembaga pemerintah serta organisasi tenaga listrik. Target serangan tersebar di Rusia, Kazakhstan, dan Brasil.
Baca Juga: Kampanye Phishing Berkedok Wawancara Kerja Merek Ternama Incar Akun Google
Toolkit yang digunakan Armored Likho bersifat modular dan terus berkembang. “Toolkit mereka menampilkan RAT yang diobfuskasi dan modular serta infostealer yang dirancang khusus untuk melewati analisis dinamis. Bersamaan dengan itu, mereka memanfaatkan alat yang lebih sederhana seperti Go2Tunnel untuk akses jarak jauh dan tunneling jaringan,” kata Tim Riset Ancaman Kaspersky. Komponen utama lainnya adalah BusySnake Stealer, infostealer berbasis Python yang sangat canggih.
Rantai serangan dimulai dengan pesan spear-phishing yang mengangkat tema pemberitahuan resmi pemerintah, aplikasi bantuan kemanusiaan, dan tes psikologis. Lampiran pesan berisi file executable self-extracting NSIS atau pintasan LNK yang mengeksploitasi kerentanan ZDI-CAN-25373.
Pada varian executable, korban akan disuguhkan survei psikologis palsu sementara di latar belakang loader disuntikkan ke proses sah. Loader kemudian mengunduh arsip dari repositori GitHub dan mengekstraknya ke folder %appdata%\WindowsHelper.
Sementara itu, varian LNK menggunakan PowerShell untuk mengunduh loader, yang selanjutnya menginstal interpreter Python 3.12, skrip pip, dan payload BusySnake Stealer.
Salah satu temuan paling menarik adalah indikasi bahwa Armored Likho menggunakan model bahasa besar (LLM) untuk menghasilkan kode malware. Tim Riset Ancaman Kaspersky mencatat, “Kode sumber loader berisi komentar yang verbose dan emoji bullet-point. Gaya penulisan kode ini sangat tidak biasa untuk malware yang dikembangkan manusia. Ini sangat menunjukkan bahwa kelompok tersebut memanfaatkan LLM untuk menghasilkan payload berbahaya mereka.”
BusySnake Stealer sendiri dilindungi dengan PyArmor Pro 9.2. 0, yang memungkinkan dekripsi bytecode Python hanya saat fungsi dipanggil dan mengenkripsi ulang setelahnya.
Stealer ini memiliki kemampuan memantau clipboard, membangun database SQLite dari file sistem, dan mencari string heksadesimal 64 karakter yang sering digunakan sebagai kunci privat kripto. Selain itu, dokumen dari folder desktop, unduhan, dan dokumen yang berukuran di bawah 5 MB akan diteruskan ke server komando dan kendali (C2).
Untuk mempertahankan akses, BusySnake Stealer mengandalkan peluncur VBScript dan tugas terjadwal yang dijalankan setiap lima menit dengan mekanisme penguncian file tunggal. Stealer ini juga mampu mencuri kata sandi browser Chromium melalui DPAPI Windows, serta kata sandi Firefox dengan memanfaatkan library NSS dan fungsi PK11SDRDecrypt tanpa interaksi pengguna.
Pencurian cookie dilakukan melalui kueri SQL atau dengan memasang ekstensi browser dari rilis GitHub. Ekstensi ini menjalankan server web lokal untuk menangkap cookie sesi secara langsung.
Modul tambahan lainnya mencakup pengambilan kunci OTP, penemuan dompet kripto, pemanenan sesi Telegram dengan mematikan proses Telegram, dan penangkapan kredensial RustDesk.
Versi terbaru BusySnake Stealer kini mengintegrasikan fungsi reverse SSH tunneling langsung ke dalam stealer. Infrastruktur tunnel menerima parameter dari domain grked[.
]online dan membangun tunnel persisten. Untuk menghindari deteksi, stealer menggunakan COM object Schedule.
Service untuk membuat tugas terjadwal dengan penundaan yang menghindari analisis sandbox.
Kaspersky menghubungkan Armored Likho dengan kelompok sebelumnya berdasarkan tumpang tindih struktural dengan AquilaRAT, termasuk penanganan perintah C2, format endpoint, dan metode persistensi yang serupa. “Kami juga mengamati penyempurnaan pada desain arsitektur BusySnake Stealer. Para penyerang membangun kerangka kerja manajemen tugas baru untuk menangani perintah C2 yang masuk. Setiap tugas diberi pengenal unik, dan sebelum eksekusi, stealer memeriksa keberadaan tugas ini dalam daftar tertentu,” ungkap Tim Riset Ancaman Kaspersky.
Lebih lanjut, Tim Riset Ancaman Kaspersky menjelaskan, “Untuk melacak status eksekusi secara real-time, tugas secara dinamis diberi salah satu dari empat status operasional: TERJADWAL, SEDANG BERLANGSUNG, BERHASIL, atau GAGAL.” Hal ini menunjukkan peningkatan kemampuan operasional kelompok tersebut.
Infrastruktur C2 yang digunakan Armored Likho mencakup alamat IP 159.198.41.140, tunneling melalui 159.198.32.222, dan domain grked[. ]online untuk konfigurasi.
Produk Kaspersky dapat mendeteksi pengunduh LNK saat eksekusi melalui rundll32. exe sebelum rantai PowerShell mengambil payload tahap kedua.
Korban yang terkonfirmasi meliputi entitas di Rusia, Kazakhstan, dan Brasil, dengan fokus pada infrastruktur pemerintah dan tenaga listrik. Kaspersky menekankan bahwa Armored Likho masih sangat aktif dan terus mengembangkan vektor serangannya.
“Analisis kampanye Armored Likho selama beberapa bulan terakhir menunjukkan tren penggunaan alat AI untuk menghasilkan payload tahap pertama, yang ditunjukkan oleh komentar dan blok kode yang redundan. Hal ini memungkinkan kelompok tersebut untuk memperluas vektor serangan yang tersedia,” kata Tim Riset Ancaman Kaspersky.
Baca Juga: Mijia Desktop Photo Printer 2: Cetak 4-Warna, Bluetooth 5.2, Harga 699 Yuan
Penemuan ini menjadi peringatan bahwa aktor ancaman semakin mengadopsi teknologi AI untuk meningkatkan efektivitas serangan. Kaspersky terus memantau jejak kelompok ini dan mendeteksi kampanye yang muncul untuk melindungi pengguna dari ancaman yang terus berevolusi.









Leave a Comment