Sekelompok hacker Cina baru-baru ini ditemukan berada di balik operasi spionase siber yang menargetkan entitas pemerintah di wilayah Asia Pasifik (APAC) diantaranya Australia, Indonesia, Filipina, Vietnam, Thailand, Myanmar, dan Brunei, yang mana operasinya tidak terdeteksi setidaknya selama lima tahun dan ternyata masih berlanjut sampai saat ini.
Kelompok hacker bernama ‘Naikon APT’, yang dulu dikenal sebagai salah satu APT paling aktif di Asia hingga 2015, melakukan serangkaian serangan siber di wilayah Asia Pasifik (APAC) untuk mencari informasi intelijen geopolitik.
Menurut laporan investigasi terbaru yang dilakukan peneliti Check Point, kelompok Naikon APT ternyata tidak berdiam diri selama 5 tahun terakhir. Dalam operasinya yang tersembunyi, kelompok hacker tersebut menggunakan backdoor baru, yang disebut “Aria-body”.
“Mengingat karakteristik para korban dan kemampuan yang dikerahkan, jelas bahwa tujuan kelompok tersebut adalah untuk mengumpulkan informasi intelijen dan memata-matai negara-negara yang sektor pemerintahnya telah ditargetkan,” kata para peneliti.
Singkatnya, backdoor Aria-body digunakan untuk mengendalikan jaringan internal dari organisasi yang ditargetkan, disamping peningkatan serangan ke perusahaan.
Operasi Spionase Siber Intelijen Geo-Politik Asia Pasifik
Pertama kali didokumentasikan pada tahun 2015, kelompok Naikon APT menggunakan umpan email buatan sebagai vektor serangan awal terhadap lembaga pemerintah tingkat atas serta organisasi sipil dan militer, yang ketika dibuka, maka akan memasang spyware yang mengeksfiltrasi dokumen sensitif dan mengirimnya ke server command-and-control penyerang.
Selain beberapa rantai infeksi yang digunakan untuk mengirim backdoor Aria-body, email berbahaya juga berisi file RTF bernama “The Indians Way.doc” yang bertujuan untuk meluncurkan eksploitasi bernama RoyalBlood.
RoyalBlood merupakan file RTF berbahaya yang sebagian besar digunakan oleh para aktor ancaman Cina. Perlu dicatat bahwa modus operandi serupa juga telah dikaitkan dengan operasi Vicious Panda yang menargetkan lembaga pemerintah Mongolia, yang ditemukan memanfaatkan tema wabah virus corona COVID-19 yang sedang berlangsung untuk menanam malware melalui trik social engineering.
Dalam mekanisme infeksi terpisah, file arsip dikemas dengan executable yang sah (seperti Outlook dan Avast Proxy) dan library berbahaya untuk menyisipkan loader di sistem target.
Terlepas dari metode vektor serangan awal, loader tersebut akan membuat koneksi dengan server C2 untuk mengunduh muatan backdoor Aria-body.
RAT Aria-body, dinamai demikian berdasarkan nama “aria-body-dllX86.dll” yang dibuat oleh pembuat malware, memiliki berbagai fitur diantaranya membuat dan menghapus file dan direktori, mengambil screenshot, mencari file, mengumpulkan metadata file, mengumpulkan informasi sistem dan lokasi, dan masih banyak yang lainnya.
Beberapa variasi terbaru dari Aria-body juga dilengkapi dengan kemampuan keylogger, dan bahkan memuat ekstensi lainnya. Menurut para peniliti dikatakan bahwa backdoor tersebut masih dalam status pengembangan aktif.
Selain dari mengeksfiltrasi semua data yang dikumpulkan ke server C2, backdoor juga akan mengeksekusi setiap perintah tambahan yang dikirimkan penyerang.
Baca Juga: “Xiaomi Melacak Penggunaan Telepon dan Private Browser Penggunanya“
Aria-body yang dikaitkan ke Naikon APT
Check Point mengatakan operasi itu dikaitkan dengan Naikon APT berdasarkan kesamaan kode dalam Aria-body dan alat spionase XSControl yang dirinci oleh Kaspersky pada 2015, serta dalam penggunaan domain C2 nya.
“Meskipun kelompok Naikon APT tidak terdeteksi berada di bawah radar selama 5 tahun terakhir, ternyata mereka tidak menganggur,” Check Point menyimpulkan. “Faktanya, justru sebaliknya. Dengan memanfaatkan infrastruktur server baru, varian loader yang selalu berubah, pemuatan tanpa memori di dalam memori, serta backdoor baru, grup Naikon APT mampu menghindar dari analisis yang melacak aktivitas mereka.”
