Waspada! Ghostwriter Sebar Malware Baru Lewat Phishing PDF

Gelombang serangan siber yang menargetkan lembaga pemerintahan Ukraina kembali meningkat. Kali ini, kelompok peretas yang dikenal sebagai Ghostwriter, yang diduga memiliki keterkaitan dengan Belarus, dilaporkan menjalankan kampanye phishing canggih dengan memanfaatkan nama platform pembelajaran daring populer di Ukraina, Prometheus, sebagai umpan untuk menjebak para korban.

Temuan ini diungkap oleh Computer Emergency Response Team of Ukraine (CERT-UA) yang menyatakan bahwa operasi tersebut telah berlangsung sejak musim semi 2026 dan secara khusus menyasar organisasi pemerintah di berbagai sektor strategis.

Menurut CERT-UA, para pelaku menggunakan akun email yang sebelumnya telah diretas untuk mengirimkan pesan phishing yang tampak meyakinkan. Dengan memanfaatkan akun sah milik pihak lain, email berbahaya tersebut menjadi lebih sulit dikenali sebagai ancaman, sehingga meningkatkan peluang korban untuk membuka lampiran dan mengikuti instruksi yang diberikan.

Berawal dari Lampiran PDF

Rangkaian serangan dimulai ketika korban menerima email yang berisi dokumen PDF. Di dalam dokumen tersebut terdapat tautan yang mengarahkan pengguna untuk mengunduh sebuah arsip ZIP. Sekilas file yang diunduh tampak tidak mencurigakan. Namun, di dalamnya terdapat file JavaScript berbahaya yang menjadi pintu masuk malware ke sistem korban.

Para peneliti keamanan siber menamai komponen awal malware ini sebagai OYSTERFRESH. Setelah dijalankan, malware tersebut menampilkan dokumen umpan atau decoy document yang terlihat normal agar pengguna tidak curiga. Sementara perhatian korban teralihkan oleh dokumen tersebut, malware mulai menjalankan aktivitas berbahaya di latar belakang.

OYSTERFRESH secara diam-diam menyimpan payload terenkripsi bernama OYSTERBLUES ke dalam Windows Registry, sebuah area penting dalam sistem operasi Windows yang sering dimanfaatkan oleh pelaku ancaman untuk menyembunyikan kode berbahaya. Selain itu, malware juga mengunduh komponen lain bernama OYSTERSHUCK, yang bertugas mendekripsi dan mengaktifkan payload utama.

Mengumpulkan Data Penting Korban

Setelah berhasil aktif di dalam sistem, OYSTERBLUES mulai melakukan pengumpulan informasi secara menyeluruh dari perangkat yang terinfeksi. Data yang dicuri meliputi nama komputer, akun pengguna yang sedang aktif, versi sistem operasi yang digunakan, waktu terakhir perangkat dinyalakan, hingga daftar aplikasi dan proses yang sedang berjalan.

Informasi tersebut sangat berharga bagi pelaku serangan karena dapat digunakan untuk memetakan lingkungan jaringan target, mengidentifikasi peluang eskalasi hak akses, dan menentukan langkah serangan berikutnya.

Seluruh data yang berhasil dikumpulkan kemudian dikirimkan ke server command-and-control (C2) milik penyerang menggunakan metode komunikasi HTTP POST.

Setelah itu, malware akan menunggu instruksi lanjutan dari server kendali. Instruksi tersebut dikirim dalam bentuk kode JavaScript tambahan yang kemudian dieksekusi secara otomatis melalui fungsi eval(), sebuah metode yang sering dimanfaatkan dalam serangan siber karena mampu menjalankan kode secara dinamis.

Cobalt Strike Jadi Payload Akhir

Berdasarkan hasil analisis CERT-UA, tahap akhir serangan ini kemungkinan menggunakan Cobalt Strike, sebuah alat simulasi serangan yang awalnya dirancang untuk membantu pengujian keamanan jaringan.

Namun dalam beberapa tahun terakhir, Cobalt Strike justru menjadi salah satu alat favorit kelompok peretas karena kemampuannya untuk mempertahankan akses ke sistem korban, melakukan pergerakan lateral di dalam jaringan, serta menjalankan berbagai aktivitas pasca-eksploitasi.

Penggunaan Cobalt Strike menunjukkan bahwa tujuan serangan tidak sekadar mencuri data, melainkan juga berpotensi membuka akses jangka panjang ke jaringan organisasi yang berhasil ditembus.

Untuk mengurangi risiko serangan serupa, CERT-UA menyarankan organisasi pemerintah maupun perusahaan swasta untuk menerapkan langkah-langkah keamanan dasar, termasuk membatasi penggunaan wscript.exe pada akun pengguna biasa. Komponen Windows tersebut sering digunakan malware berbasis JavaScript untuk menjalankan kode berbahaya.

Rusia Disebut Manfaatkan AI dalam Operasi Siber

Pengungkapan kampanye Ghostwriter ini muncul bersamaan dengan laporan terbaru dari Dewan Keamanan dan Pertahanan Nasional Ukraina yang menyoroti meningkatnya penggunaan teknologi kecerdasan buatan (AI) dalam operasi siber yang diduga terkait Rusia.

Menurut laporan tersebut, berbagai alat AI modern seperti ChatGPT dan Gemini dimanfaatkan untuk membantu proses pengintaian target, analisis informasi, hingga menghasilkan perintah berbahaya yang dapat digunakan malware secara otomatis saat dijalankan.

Pihak Ukraina menilai bahwa kelompok peretas yang didukung Kremlin kini semakin fokus pada operasi intelijen digital jangka panjang. Tujuannya tidak hanya memperoleh data sensitif, tetapi juga mempertahankan keberadaan mereka di dalam jaringan korban selama mungkin guna mendukung operasi lanjutan.

Sepanjang tahun 2025, beberapa metode yang paling sering digunakan dalam serangan siber meliputi rekayasa sosial, eksploitasi kerentanan perangkat lunak, penyalahgunaan akun RDP dan VPN yang telah diretas, serangan rantai pasok (supply chain attack), serta penggunaan perangkat lunak bajakan yang telah disisipi backdoor sejak proses instalasi.

Para penyerang terutama menargetkan informasi sensitif, komunikasi internal organisasi, serta data lokasi yang dapat memberikan keuntungan strategis dalam operasi intelijen.

Kampanye Propaganda Juga Meningkat

Selain ancaman malware dan spionase digital, para peneliti juga menemukan aktivitas propaganda yang diduga terkait dengan jaringan pro-Kremlin.

Kampanye tersebut diketahui membajak akun pengguna asli di platform media sosial Bluesky sejak tahun 2024 untuk menyebarkan informasi palsu dan narasi propaganda. Korban pembajakan mencakup sejumlah jurnalis, akademisi, dan tokoh publik yang memiliki pengaruh di ruang digital.

Aktivitas ini dikaitkan dengan perusahaan yang berbasis di Moskow bernama Social Design Agency, yang disebut memiliki hubungan dengan operasi propaganda digital bernama Matryoshka. Sebagai respons, Bluesky telah menangguhkan sejumlah akun yang teridentifikasi diretas hingga pemilik sah melakukan proses pemulihan dan pengamanan kembali akun mereka.

Temuan-temuan terbaru ini menunjukkan bahwa ancaman siber modern tidak lagi terbatas pada pencurian data semata. Serangan kini berkembang menjadi kombinasi antara spionase digital, operasi pengaruh, propaganda daring, serta pemanfaatan teknologi kecerdasan buatan yang semakin canggih. Kondisi tersebut mendorong pemerintah dan organisasi di seluruh dunia untuk terus meningkatkan kesiapan keamanan siber guna menghadapi ancaman yang semakin kompleks dan sulit dideteksi.