Berita Terbaru

Backdoor OpenSSH Berbasis Tor Targetkan Sektor Pertahanan

Ilustrasi Cyber Security 18

Ilustrasi Cyber Security

Sektor pertahanan kembali menjadi sasaran dalam kampanye serangan siber berskala besar dan sangat terstruktur. Sebuah operasi terbaru yang diberi nama Operation SkyCloak terungkap memanfaatkan teknik canggih, termasuk backdoor OpenSSH berbasis jaringan anonim Tor, untuk menyusup ke sistem target. Temuan ini diungkap oleh dua perusahaan keamanan siber, Cyble dan Seqrite Labs, yang memperingatkan potensi ancaman serius terhadap institusi pertahanan di Rusia dan Belarus.

Kampanye ini menunjukkan betapa semakin kompleksnya teknik serangan yang digunakan pelaku ancaman (threat actors) dalam upaya mendapatkan akses permanen ke sistem yang mereka incar. Dengan memanfaatkan phishing, malware modular, teknik anti-analisis, hingga layanan tersembunyi Tor, Operation SkyCloak menjadi salah satu operasi spionase digital paling canggih yang terdeteksi sepanjang tahun 2025.

 
Phishing Bertema Militer Jadi Gerbang Utama Infeksi

Operation SkyCloak dimulai dari sebuah serangan phishing yang dikirim melalui email. Email tersebut memanfaatkan umpan (lure) berisi dokumen militer, yang menjadi topik sensitif dan relevan bagi target di sektor pertahanan. Di dalam email, korban diarahkan membuka file ZIP yang tampak sah, padahal berisi rangkaian file berbahaya.

Di dalam ZIP tersebut terdapat:

  • Folder tersembunyi
  • Arsip tambahan
  • File pintasan Windows berekstensi LNK

Ketika file LNK itu dibuka, korban tanpa sadar memicu rantai infeksi multi-langkah yang dirancang dengan sangat terstruktur. Menurut peneliti keamanan Sathwik Ram Prakki dan Kartikkumar Jivani, kampanye ini juga terkait dengan sejumlah file yang diunggah dari Belarus ke platform VirusTotal pada Oktober 2025, mengindikasikan aktivitas pengujian malware sebelum diluncurkan secara luas.

 
PowerShell Jadi Mesin Eksekusi Utama Malware

Tahap awal infeksi melibatkan skrip PowerShell yang digunakan untuk mengeksekusi modul-modul lain dalam rangkaian serangan. Salah satu modul penting adalah PowerShell stager, yang menjalankan berbagai fungsi, seperti:

Memeriksa apakah sistem berada dalam lingkungan analisis (sandbox)
Menyiapkan file dan konfigurasi penting untuk tahapan berikutnya
Menulis alamat Tor onion milik pelaku ke file bernama “hostname”
Alamat .onion tersebut disimpan di:

C:\Users\<Username>\AppData\Roaming\logicpro\socketExecutingLoggingIncrementalCompiler\

Pada tahap ini, malware berusaha memastikan bahwa ia berjalan di komputer asli, bukan lingkungan analisis. Hal ini dilakukan dengan dua pemeriksaan sederhana namun efektif:

  • Jumlah file LNK terbaru minimal 10
  • Jumlah proses yang berjalan minimal 50
  • Jika salah satu kriteria gagal, skrip langsung berhenti, mencegah peneliti atau sistem keamanan melakukan analisis lebih lanjut.

Cyble menjelaskan bahwa indikator tersebut sangat logis, karena sandbox biasanya minim aktivitas pengguna dan menjalankan layanan yang lebih terbatas.

 
PDF Umpan dan Mekanisme Persistensi

Jika pemeriksaan lingkungan terpenuhi, malware akan menampilkan sebuah file PDF umpan (decoy) yang membuat korban merasa bahwa file yang dibuka memang sesuai konteks. Sementara itu, di belakang layar, malware menanamkan dirinya agar dapat bertahan lama dalam sistem.

Malware membuat sebuah scheduled task bernama:

githubdesktopMaintenance

Tugas terjadwal ini akan berjalan otomatis setiap kali pengguna login, serta rutin setiap hari pukul 10:21 UTC. File yang dijalankan adalah:

logicpro/githubdesktop.exe

Namun, file ini sebenarnya bukan GitHub Desktop, melainkan sshd.exe — komponen resmi OpenSSH yang sudah diganti nama oleh pelaku ancaman. Dengan demikian, mereka mampu mengaktifkan layanan SSH khusus yang hanya bisa diakses melalui authorized keys yang sudah disiapkan.

 
Tor yang Dimodifikasi untuk Komunikasi Tersembunyi

Tidak berhenti sampai di situ, malware juga membuat scheduled task kedua untuk menjalankan file:

logicpro/pinterest.exe

File ini adalah versi Tor yang telah dimodifikasi. Tujuannya adalah membuat hidden service untuk berkomunikasi secara anonim dengan server pelaku.

Tor tersebut dilengkapi modul obfs4, yang berfungsi untuk:

  • Menyamarkan pola lalu lintas jaringan
  • Menghindari deteksi firewall dan sistem IDS/IPS
  • Menyulitkan pelacakan asal komunikasi

Selain itu, malware melakukan port forwarding untuk layanan Windows penting, seperti:

  • RDP (Remote Desktop Protocol)
  • SSH
  • SMB (Server Message Block)

Dengan cara ini, pelaku ancaman bisa mengakses sistem korban secara penuh melalui jaringan Tor, tanpa terlihat oleh mekanisme pemantauan biasa.

 
Eksfiltrasi Data dan Kontrol Penuh atas Sistem

Setelah seluruh koneksi berhasil dibuat, malware akan:

  • Mengumpulkan informasi sistem
  • Mengirimkan data tersebut menggunakan perintah cURL
  • Mengirimkan URL .onion unik sebagai identitas perangkat korban

Dengan informasi tersebut, pelaku dapat mengakses perangkat kapan saja melalui kanal command-and-control (C2) yang sepenuhnya anonim.

Begitu pelaku menerima URL .onion milik korban, mereka mendapat akses jarak jauh penuh, termasuk kemampuan mengunduh, mengunggah, memodifikasi, atau mengontrol sistem secara menyeluruh.

 
Diduga Terkait Aktivitas Spionase Eropa Timur

Walaupun identitas pelaku belum dapat dipastikan, baik Cyble maupun Seqrite menilai kampanye ini memiliki ciri khas serangan spionase dari kawasan Eropa Timur. Cyble bahkan menilai ada kemiripan taktik dengan serangan sebelumnya yang dilakukan oleh kelompok yang dipantau CERT-UA sebagai UAC-0125.

Operasi SkyCloak menunjukkan tingkat kemampuan teknis yang tinggi, dengan pemanfaatan:

  • Infrastruktur Tor khusus
  • Teknik penyamaran lalu lintas (obfs4)
  • Mekanisme persistensi yang rapi
  • Pemanfaatan komponen Windows dan OpenSSH yang sah

Menurut Cyble, para pelaku menggunakan layanan Tor tersembunyi untuk mengakses SSH, RDP, SFTP, dan SMB, memungkinkan mereka mengendalikan sistem tanpa meninggalkan jejak yang mudah ditelusuri.

 
Ancaman Tingkat Tinggi bagi Sektor Pertahanan

Operation SkyCloak menjadi bukti terbaru bahwa sektor pertahanan terus menjadi target utama dalam operasi spionase modern. Penggabungan antara phishing, malware modular, OpenSSH backdoor, serta layanan Tor khusus, menjadikan kampanye ini sangat sulit dideteksi dan berbahaya.

Organisasi, terutama institusi pertahanan dan pemerintahan, disarankan:

  • Meningkatkan pelatihan keamanan siber
  • Mengetatkan pemantauan lalu lintas jaringan
  • Mengaktifkan deteksi anomali berbasis perilaku
  • Memperketat kebijakan akses terhadap lampiran email

Dengan ancaman yang semakin berkembang, kewaspadaan berlapis menjadi kunci utama dalam menghadapi serangan siber semacam ini.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait