Kelompok peretas berbahasa China yang dikenal sebagai TA4922 telah memperluas serangan siber mereka ke kawasan Eropa. Dalam kampanye terbaru, mereka menggunakan malware baru bernama Atlas RAT dan beberapa loader khusus untuk menembus jaringan korban.
Baca Juga: AS Jatuhkan Sanksi ke Nobitex, Bursa Kripto Iran Terkait Ransomware
Dilansir dari BleepingComputer, kelompok ini sebelumnya dikenal karena serangan bermotif finansial di Asia Timur. Kini, target mereka meliputi Jerman, Italia, Inggris, dan Afrika Selatan. Perusahaan keamanan siber Proofpoint melacak aktivitas TA4922 dan mencatat peningkatan drastis sejak Maret lalu.
TA4922 tidak hanya menggunakan satu jenis malware. Mereka mengandalkan Atlas RAT, sebuah trojan akses jarak jauh yang mampu melakukan pengintaian sistem, mencuri file tertentu, mengunduh plugin dan payload, merekam ketikan (keylogging), mengambil tangkapan layar, serta merekam audio dan video dari webcam.
Baca Juga: Google Alokasikan Rp 1.200 Triliun untuk Pengembangan AI
Malware ini juga dapat memerintahkan shutdown atau reboot sistem korban.
Atlas RAT dilengkapi dengan berbagai mekanisme anti-analisis. Beberapa di antaranya adalah pengecekan nama pengguna, kunci registri yang terkait dengan Microsoft Defender Application Guard, layanan “CExecSvc”, dan UUID sistem operasi. Hal ini membuatnya sulit dideteksi oleh lingkungan sandbox atau alat analisis otomatis.
Selain Atlas RAT, Proofpoint menemukan loader baru bernama RomulusLoader. Loader ini digunakan untuk mengunduh dan mengeksekusi payload tambahan melalui teknik process hollowing, injeksi shellcode, dan eksekusi langsung.
RomulusLoader diketahui meluncurkan alat manajemen jarak jauh yang sah seperti AnyDesk dan SyncFuture, yang populer di China. Menariknya, SyncFuture digunakan dalam serangan yang menargetkan entitas Jerman.
Proofpoint juga mengidentifikasi loader berbasis Python yang disebut SilentRunLoader. Malware ini berfungsi sebagai pencuri informasi, khususnya mencuri kredensial, cookie, dan data penjelajahan dari Google Chrome.
SilentRunLoader digunakan dalam serangan terhadap organisasi di Inggris dan Asia Tenggara dengan umpan yang menyamar sebagai layanan pemerintah.
Terakhir, kelompok ini juga menggunakan Winos4.0, yang dikenal juga sebagai ValleyRAT. Malware ini menyediakan fitur akses jarak jauh yang lengkap bagi operatornya.
Semua malware ini menunjukkan bahwa TA4922 memiliki gudang senjata yang terus berkembang.
Proofpoint menilai bahwa TA4922 saat ini menjalankan lebih banyak kampanye unik dibandingkan kelompok kejahatan siber lain yang mereka lacak. Kecepatan operasional dan keragaman umpan yang digunakan sangat tinggi.
Para peneliti juga meyakini bahwa kelompok tersebut mungkin menggunakan model bahasa besar (LLM) untuk mempercepat pengembangan malware. Indikasinya terlihat dari adanya nilai placeholder, komentar kode, dan pola yang umum ditemukan pada kode buatan AI.
TA4922 menggunakan teknik phishing yang sangat terlokalisasi. Umpan yang dikirimkan berupa pemberitahuan penggajian, audit pajak, pengajuan PPN, kepatuhan pemerintah, faktur, dan komunikasi sumber daya manusia.
Mereka juga mencoba menghubungi korban melalui WhatsApp, LINE Messenger, dan Microsoft Teams. Semua ini dirancang untuk mengelabui target agar membuka lampiran berbahaya.
Meskipun motif utama TA4922 adalah finansial, kemampuan malware yang mereka gunakan juga mencakup potensi untuk pengintaian. Menurut Proofpoint, kemampuan tersebut bisa digunakan atau dijual kepada kelompok espionase.
Hal ini membuat ancaman TA4922 tidak hanya terbatas pada pencurian data dan penipuan, tetapi juga menjadi risiko keamanan nasional.
Proofpoint telah merilis laporan lengkap yang mencakup indikator kompromi (IoC) dan infrastruktur command-and-control (C2) yang digunakan dalam serangan TA4922. Perusahaan keamanan tersebut merekomendasikan organisasi di Eropa untuk waspada terhadap email phishing yang mencurigakan, terutama yang berkaitan dengan topik keuangan atau kepatuhan pemerintah.
Baca Juga: Insta360 Luna Ultra Perkenalkan Modul Head Tracking Pertama di Dunia
Pembaruan sistem dan penggunaan alat keamanan yang mampu mendeteksi perilaku mencurigakan juga menjadi langkah penting untuk menghadapi ancaman ini.
Leave a Comment