Berita Terbaru

Hacker SloppyLemming Serang Pemerintah Pakistan-Bangladesh

Ilustrasi Hacker 3

Ilustrasi Hacker 3

Ancaman keamanan siber kembali meningkat setelah muncul laporan mengenai aktivitas kelompok peretas yang dikenal dengan nama SloppyLemming. Kelompok ini dilaporkan melancarkan serangkaian serangan yang menargetkan lembaga pemerintah serta operator infrastruktur penting di kawasan Asia Selatan, khususnya di Pakistan dan Bangladesh.

Serangan tersebut terungkap dalam laporan perusahaan keamanan siber Arctic Wolf, yang mengungkap bahwa kampanye serangan berlangsung dalam rentang waktu Januari 2025 hingga Januari 2026. Dalam operasi ini, para pelaku menggunakan pendekatan yang cukup kompleks dengan memanfaatkan dua rantai serangan malware yang berbeda.

Malware yang digunakan dalam kampanye tersebut diketahui bernama BurrowShell, serta sebuah keylogger yang dikembangkan menggunakan bahasa pemrograman Rust.

 

Evolusi Alat Serangan SloppyLemming

Penggunaan bahasa pemrograman Rust menjadi perkembangan menarik dalam strategi teknis kelompok ini. Dalam laporan-laporan sebelumnya, SloppyLemming diketahui lebih sering menggunakan bahasa pemrograman yang lebih konvensional.

Selain itu, kelompok ini juga memanfaatkan berbagai framework simulasi serangan yang umum digunakan oleh pelaku kejahatan siber. Beberapa di antaranya adalah Cobalt Strike, Havoc C2 Framework, serta malware kustom bernama NekroWire RAT.

Perubahan penggunaan bahasa pemrograman menunjukkan bahwa kelompok ini terus beradaptasi dan meningkatkan kemampuan teknisnya untuk menghindari deteksi sistem keamanan modern.

 

Aktor Ancaman yang Sudah Lama Beroperasi

SloppyLemming bukanlah pemain baru di dunia kejahatan siber. Sejak setidaknya tahun 2022, kelompok ini telah diketahui aktif menargetkan berbagai organisasi penting di Asia.

Beberapa sektor yang menjadi target mereka meliputi:

  • Lembaga pemerintah
  • Organisasi penegak hukum
  • Industri energi
  • Infrastruktur telekomunikasi
  • Perusahaan teknologi

Selain Pakistan dan Bangladesh, aktivitas kelompok ini juga terdeteksi di negara lain seperti Sri Lanka dan China.

Dalam dunia intelijen siber, kelompok ini juga dikenal dengan beberapa nama lain seperti Outrider Tiger dan Fishing Elephant.

Pada kampanye sebelumnya, mereka diketahui menggunakan malware seperti Ares RAT dan WarHawk, yang sering dikaitkan dengan kelompok ancaman lain yaitu SideCopy dan SideWinder threat group.

 

Serangan Dimulai dari Email Phishing

Dalam kampanye terbaru ini, para penyerang memulai aksinya melalui teknik spear-phishing. Metode ini merupakan bentuk phishing yang dirancang secara khusus untuk target tertentu, sehingga terlihat lebih meyakinkan.

Para korban menerima email yang tampak resmi dan relevan dengan pekerjaan mereka. Di dalam email tersebut terdapat lampiran yang berfungsi sebagai umpan (decoy) untuk memancing korban membuka file berbahaya.

Lampiran yang digunakan biasanya berupa:

  • File PDF yang berisi tautan berbahaya
  • Dokumen Excel yang memiliki macro berbahaya

Ketika korban membuka atau menjalankan file tersebut, proses infeksi malware pun dimulai.

Para peneliti menilai bahwa meskipun kemampuan teknis kelompok ini berada pada tingkat menengah, metode yang mereka gunakan cukup efektif untuk menembus sistem organisasi target.

 

Rantai Serangan Pertama: Penyebaran BurrowShell

Pada skenario pertama, korban menerima file PDF yang di dalamnya terdapat tautan URL berbahaya. Ketika tautan tersebut dibuka, korban diarahkan ke sebuah manifest aplikasi ClickOnce.

Dari sana, sistem korban akan mengunduh beberapa komponen penting, yaitu:

  • File executable .NET resmi milik Microsoft bernama NGenTask.exe
  • File loader berbahaya bernama mscorsvc.dll

Loader ini kemudian dijalankan menggunakan teknik yang dikenal sebagai DLL side-loading. Teknik tersebut memanfaatkan aplikasi yang sah untuk menjalankan file berbahaya sehingga aktivitasnya lebih sulit terdeteksi oleh sistem keamanan.

Setelah aktif, loader tersebut akan mendekripsi serta menjalankan shellcode khusus berbasis arsitektur x64 yang dikenal sebagai BurrowShell.

 

BurrowShell: Backdoor Serbaguna

BurrowShell merupakan malware jenis backdoor, yang memberikan akses luas kepada penyerang untuk mengendalikan sistem korban dari jarak jauh.

Malware ini memiliki sejumlah kemampuan berbahaya, antara lain:

  • Mengakses dan memodifikasi file dalam sistem
  • Mengambil tangkapan layar (screenshot)
  • Menjalankan perintah remote shell
  • Membuat terowongan jaringan menggunakan SOCKS proxy

Kemampuan tersebut memungkinkan penyerang untuk melakukan berbagai aktivitas spionase digital.

Yang menarik, komunikasi antara malware dengan server pengendali atau command-and-control (C2) disamarkan agar terlihat seperti lalu lintas normal dari layanan Windows Update.

Selain itu, BurrowShell juga menggunakan enkripsi RC4 dengan kunci 32 karakter untuk melindungi data serta menyembunyikan aktivitasnya dari sistem keamanan.

 

Rantai Serangan Kedua: Keylogger Berbasis Rust

Rantai serangan kedua menggunakan pendekatan yang berbeda. Dalam skenario ini, korban menerima dokumen Excel yang berisi macro berbahaya.

Ketika korban membuka file tersebut dan mengaktifkan macro, sistem akan mengunduh malware keylogger berbasis Rust.

Keylogger ini dirancang untuk:

  • Merekam setiap penekanan tombol keyboard
  • Mengumpulkan informasi login dan kata sandi
  • Mengirimkan data tersebut ke server milik penyerang

Selain mencuri data, malware ini juga memiliki fitur tambahan seperti:

  • Port scanning, untuk mencari port jaringan yang terbuka
  • Network enumeration, untuk mengidentifikasi perangkat lain dalam jaringan

Fitur tersebut membantu penyerang memperluas akses ke sistem lain dalam jaringan organisasi yang diserang.

 

Infrastruktur Serangan Terus Berkembang

Dalam penyelidikan terhadap infrastruktur yang digunakan kelompok ini, peneliti menemukan perkembangan yang cukup signifikan.

Selama periode satu tahun, para pelaku diketahui telah mendaftarkan 112 domain berbasis Cloudflare Workers.

Jumlah ini meningkat drastis dibandingkan sebelumnya. Pada September 2024, hanya sekitar 13 domain yang teridentifikasi terkait dengan aktivitas kelompok ini.

Lonjakan jumlah domain tersebut menunjukkan bahwa SloppyLemming terus memperluas infrastrukturnya untuk mendukung operasi serangan siber.

 

Teknik Typosquatting untuk Menipu Korban

Salah satu teknik yang digunakan dalam kampanye ini adalah typosquatting, yaitu membuat nama domain yang mirip dengan situs resmi pemerintah atau organisasi tertentu.

Tujuan teknik ini adalah agar korban tidak menyadari bahwa mereka sedang mengakses situs palsu. Dengan cara tersebut, peluang keberhasilan serangan menjadi lebih tinggi.

 

Indikasi Tujuan Spionase Siber

Berdasarkan analisis para peneliti, target yang dipilih dalam kampanye ini menunjukkan adanya kemungkinan tujuan pengumpulan intelijen strategis.

Di Pakistan, beberapa target utama meliputi:

  • Badan regulasi nuklir
  • Organisasi logistik pertahanan
  • Infrastruktur telekomunikasi

Sementara di Bangladesh, target yang diserang mencakup:

  • Perusahaan utilitas energi
  • Lembaga keuangan

Jenis organisasi yang disasar menunjukkan bahwa serangan ini kemungkinan terkait dengan persaingan geopolitik di kawasan Asia Selatan.

 

Strategi Malware Ganda

Para peneliti juga menyoroti penggunaan dua jenis malware sekaligus dalam satu kampanye.

BurrowShell digunakan untuk mengendalikan sistem korban dan komunikasi C2
Keylogger berbasis Rust digunakan untuk mencuri informasi sensitif
Pendekatan ini menunjukkan bahwa SloppyLemming memiliki strategi yang cukup fleksibel. Mereka dapat menyesuaikan alat serangan berdasarkan nilai target serta tujuan operasi mereka.

 

Kesimpulan

Kampanye terbaru yang dilakukan SloppyLemming menunjukkan bahwa kelompok ini terus mengembangkan metode serangannya. Penggunaan bahasa pemrograman Rust, peningkatan jumlah domain infrastruktur, serta penerapan dua rantai malware sekaligus menandakan bahwa operasi mereka semakin kompleks.

Serangan yang menargetkan sektor pemerintah, energi, telekomunikasi, dan keuangan juga menunjukkan kemungkinan kuat bahwa operasi ini bertujuan untuk spionase siber dan pengumpulan intelijen strategis.

Para pakar keamanan menyarankan organisasi untuk meningkatkan kewaspadaan terhadap email phishing, memperketat keamanan sistem email, serta memantau aktivitas jaringan secara lebih ketat.

Langkah-langkah tersebut penting untuk mencegah infiltrasi serangan siber yang semakin canggih seperti yang dilakukan oleh kelompok SloppyLemming.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait