Grup peretas asal Korea Utara yang diketahui menargetkan peneliti keamanan kini telah meningkatkan taktik permainannya melalui pembentukan perusahaan keamanan palsu.
Para pelaku ancaman, diyakini sebagai peretas yang disponsori negara dan didukung oleh partai yang berkuasa di Korea Utara, pertama kali didokumentasikan oleh Threat Analysis Group (TAG) Google pada Januari 2021.
TAG Google, berspesialis dalam melacak kelompok advanced persistent threat (APT), mengatakan pada saat itu bahwa pelaku ancaman asal Korea Utara tersebut telah membuat web profil palsu di seluruh media sosial, termasuk Twitter, Keybase, dan LinkedIn.
“Untuk membangun kredibilitas dan terhubung dengan peneliti keamanan, para aktor membuat blog penelitian dan beberapa profil Twitter untuk berinteraksi dengan target potensial,” kata peneliti Google. “Mereka telah menggunakan profil Twitter ini untuk memposting tautan ke blog mereka, memposting video dari eksploitasi yang diklaim mereka agar bisa lebih meyakinkan dan me-retweet posting dari akun lain yang mereka kontrol.”
Ketika sudah bisa menjangkau target, mereka akan menanyakan apakah korban terkait ingin berkolaborasi dalam penelitian keamanan siber – sebelum mengirimi mereka proyek Visual Studio berbahaya yang berisi backdoor. Atau, mereka terkadang meminta peneliti untuk mengunjungi blog yang mengandung kode berbahaya termasuk eksploitasi browser.
Baca Juga: “GitHub Perbaiki Kerentanan Kritis Yang Ditemukan Oleh Google“
Dalam update yang diposting pada 31 Maret 2021, Adam Weidemann dari TAG mengatakan bahwa kelompok yang disponsori negara tersebut kini telah mengubah taktik dengan membuat perusahaan keamanan ofensif palsu, lengkap dengan profil media sosial dan situs web baru.
Perusahaan palsunya, bernama “SecuriElite,” didirikan pada 17 Maret 2021. SecuriElite mengklaim berbasis di Turki dan menawarkan layanan penetration testing, penilaian keamanan perangkat lunak, dan eksploitasi.
“Kami telah melaporkan semua profil media sosial yang teridentifikasi ke platform terkait agar memungkinkan mereka mengambil tindakan yang sesuai,” kata tim Google. “Saat ini, kami belum mengamati situs web penyerang baru yang menyajikan konten berbahaya, tetapi kami telah menambahkannya ke Google Safebrowsing sebagai tindakan pencegahan.”
