OneClik: Serangan Siber Canggih Targetkan Sektor Energi

Dunia siber kembali diguncang oleh temuan mengejutkan dari para peneliti keamanan. Sebuah kampanye serangan siber bernama OneClik dilaporkan telah menargetkan organisasi di sektor energi, minyak, dan gas dengan cara yang sangat canggih dan sulit dideteksi. Kampanye ini memanfaatkan teknologi Microsoft ClickOnce serta menyisipkan backdoor berbahaya berbasis bahasa pemrograman Golang (Go).

Yang membuat kampanye ini menarik sekaligus mengkhawatirkan adalah bagaimana metode yang digunakan tampak sah dan legal dari permukaan, tetapi sebenarnya menyimpan bahaya tersembunyi yang dapat membuka akses sepenuhnya terhadap sistem target.

 
Dugaan Keterlibatan Aktor dari Tiongkok

Menurut analisis dari peneliti Trellix, yakni Nico Paulo Yturriaga dan Pham Duy Phuc, terdapat karakteristik yang mengarah pada metode kelompok peretas yang berafiliasi dengan Tiongkok. Meskipun begitu, Trellix masih berhati-hati dalam menarik kesimpulan, karena belum ada bukti pasti siapa pelaku utamanya.

Namun yang jelas, teknik serangan ini mengadopsi strategi "living-off-the-land" yaitu menjalankan aktivitas jahat dengan menyamar di balik proses sistem dan layanan cloud yang sah, sehingga sulit terdeteksi oleh sistem keamanan konvensional.

 
Cara Kerja Serangan OneClik

Serangan OneClik dimulai dari teknik phishing, yaitu email palsu yang berisi tautan ke situs yang tampak seperti situs resmi analisis perangkat keras. Jika korban tergoda dan mengeklik tautan tersebut, mereka akan diarahkan untuk mengunduh aplikasi ClickOnce. Aplikasi ini terlihat sah, tetapi sebenarnya merupakan sarana untuk menjalankan kode berbahaya.

ClickOnce adalah teknologi dari Microsoft yang sejatinya dibuat untuk memudahkan instalasi aplikasi berbasis Windows tanpa perlu campur tangan admin. Namun, celah ini justru menjadi senjata bagi pelaku serangan untuk menyebarkan malware secara diam-diam.

 
ClickOnce dan Eksekusi Tanpa Hak Admin

Dalam database teknik serangan siber MITRE ATT&CK, ClickOnce disebut dapat digunakan untuk menjalankan kode jahat melalui program Windows dfsvc.exe — yang merupakan bagian dari sistem Windows.

Hal yang mencengangkan adalah, aplikasi yang berjalan melalui ClickOnce tidak memerlukan izin admin. Ini berarti, kode berbahaya bisa dijalankan langsung tanpa harus menembus sistem keamanan yang biasanya memerlukan hak istimewa.

 
Penggunaan RunnerBeacon: Backdoor Berbahaya Berbasis Golang

Begitu aplikasi ClickOnce dijalankan, sistem korban mulai dieksekusi dengan metode injeksi bernama AppDomainManager injection. Teknik ini memungkinkan shellcode terenkripsi disuntikkan langsung ke dalam memori, yang kemudian memuat RunnerBeacon yaitu sebuah backdoor canggih berbasis bahasa Go.

RunnerBeacon sangat berbahaya karena memiliki berbagai kemampuan, antara lain:

• Komunikasi dengan server Command and Control (C2) melalui:
  • HTTP/HTTPS
  • WebSockets
  • TCP mentah
  • SMB (Windows Named Pipes)
• Membaca dan menulis file
• Menampilkan dan menghentikan proses
• Menjalankan perintah terminal
• Mencuri token autentikasi
• Bergerak lateral ke sistem lain
• Menyembunyikan diri dari analisis dan pendeteksian
• Melakukan port scanning, port forwarding, dan berfungsi sebagai SOCKS5 proxy
   

Kemiripan dengan Geacon (Turunan Cobalt Strike)

Para peneliti mencatat bahwa RunnerBeacon sangat mirip dengan Geacon, yaitu turunan dari alat spionase siber Cobalt Strike yang juga ditulis dalam bahasa Go.

RunnerBeacon kemungkinan besar adalah hasil pengembangan lanjutan atau modifikasi privat dari Geacon, dengan fitur yang lebih senyap, dan lebih efisien jika digunakan di lingkungan cloud.

 
Tiga Varian OneClik Ditemukan

Selama Maret 2025, ditemukan tiga varian utama dari kampanye OneClik:

• v1a
• BPI-MDM
• v1d

Masing-masing varian menunjukkan kemajuan dalam teknik penyusupan dan penghindaran deteksi. RunnerBeacon sendiri telah terdeteksi sejak September 2023, digunakan dalam serangan ke perusahaan minyak dan gas di Timur Tengah.

Teknik seperti AppDomainManager injection sebelumnya juga telah digunakan oleh kelompok dari Tiongkok dan Korea Utara, meskipun belum ada atribusi resmi terkait pelaku kampanye OneClik ini.

 
Kampanye Serupa dari Kelompok APT-Q-14

Menariknya, di waktu hampir bersamaan, perusahaan keamanan siber asal Tiongkok QiAnXin juga mengungkap kampanye lain oleh kelompok yang mereka sebut APT-Q-14. Kelompok ini menggunakan metode yang hampir sama menyebarkan malware melalui aplikasi ClickOnce.

Namun yang membedakan, APT-Q-14 menggunakan kerentanan zero-day XSS pada versi web dari aplikasi email (namanya tidak diungkap). Kerentanan ini memungkinkan malware terunduh otomatis hanya dengan membuka email phishing.

Untuk membuat email phishing lebih meyakinkan, kontennya disalin dari berita Yahoo News, dan ditujukan ke industri-industri penting.

Setelah email dibuka, malware langsung:

• Menginstal dirinya secara otomatis
• Mencuri data sistem
• Mengirimkan data ke server C2
• Menunggu instruksi dari peretas
   

APT-Q-14 dan Keterkaitannya dengan DarkHotel

APT-Q-14 diyakini berasal dari Asia Timur Laut, dan terkait dengan grup lain seperti APT-Q-12 (Pseudo Hunter) dan APT-Q-15. Ketiganya dianggap sebagai bagian dari kelompok besar bernama DarkHotel atau APT-C-06, yang pernah dikaitkan dengan Korea Selatan.

Pada awal tahun 2025, 360 Threat Intelligence Center mengungkap bahwa DarkHotel menggunakan teknik BYOVD (Bring Your Own Vulnerable Driver) untuk:

• Mematikan Microsoft Defender
• Menginstal malware melalui file MSI palsu

Teknik yang digunakan oleh DarkHotel kini lebih sederhana, tapi lebih fleksibel dan berbahaya. Fokus serangan mereka tetap pada sektor perdagangan yang berkaitan dengan Korea Utara.

 
Kampanye OneClik Ternyata Bagian dari Latihan Red Team

Pada 30 Juni 2025, Trellix merilis pembaruan mengejutkan: kampanye OneClik ternyata adalah bagian dari latihan Red Team yang dikendalikan secara internal.

Meski demikian, Trellix menegaskan bahwa kampanye ini meniru dengan sangat baik teknik spionase dunia nyata, sehingga memberikan simulasi realistis bagaimana serangan siber bisa menghindari deteksi menggunakan alat sah seperti sistem cloud dan layanan Microsoft.

 
Waspada Teknologi yang Tampak Sah

Kasus OneClik menjadi pengingat serius bahwa serangan siber kini tak selalu datang dari aplikasi mencurigakan atau file yang tampak asing. Ancaman justru bisa menyusup lewat teknologi resmi seperti ClickOnce, yang selama ini dianggap aman.

Dalam dunia siber yang semakin kompleks, pendekatan keamanan harus lebih adaptif dan proaktif. Teknologi seperti RunnerBeacon menunjukkan bahwa kemampuan pelaku siber berkembang sangat cepat, bahkan menyatu dengan ekosistem cloud dan sistem legal.

Terlebih lagi, sektor penting seperti energi, minyak, dan gas adalah sasaran utama dan jika keamanan sistem mereka lemah, dampaknya bisa sangat besar, tidak hanya secara ekonomi, tetapi juga terhadap stabilitas nasional dan internasional.