Peretas China Sebar Malware Atlas RAT, Eropa Jadi Sasaran

Kelompok kejahatan siber berbahasa Mandarin yang dikenal dengan nama TA4922 dilaporkan memperluas jangkauan operasinya ke berbagai negara di Eropa dengan memanfaatkan sejumlah malware baru yang semakin canggih. Salah satu ancaman terbaru yang ditemukan adalah Atlas RAT, sebuah malware jenis Remote Access Trojan (RAT) yang mampu memberikan kendali jarak jauh secara luas kepada para pelaku serangan.

Temuan tersebut diungkap oleh perusahaan keamanan siber Proofpoint dalam laporan terbaru mereka. Menurut para peneliti, aktivitas kelompok ini mengalami peningkatan yang sangat signifikan dalam beberapa bulan terakhir, baik dari sisi jumlah kampanye serangan maupun variasi teknik yang digunakan untuk menginfeksi korban.

Sebelumnya, TA4922 lebih banyak diketahui menargetkan organisasi dan perusahaan di kawasan Asia Timur. Namun, dalam perkembangan terbaru, kelompok ini mulai mengarahkan serangannya ke berbagai negara lain, termasuk Jerman, Italia, Inggris, hingga Afrika Selatan. Perubahan wilayah operasi tersebut menunjukkan bahwa kelompok ini tengah memperluas jangkauan globalnya dan berupaya mencari target baru yang lebih beragam.

Serangan Bermotif Finansial

Proofpoint mengidentifikasi TA4922 sebagai kelompok kejahatan siber yang berorientasi pada keuntungan finansial. Tujuan utama mereka adalah memperoleh akses ke jaringan perusahaan atau organisasi untuk kemudian digunakan dalam berbagai aktivitas ilegal, seperti pencurian data, penipuan digital, hingga penjualan akses sistem kepada pihak lain.

Meski memiliki sejumlah kesamaan dengan aktivitas kelompok yang sebelumnya dikenal sebagai Silver Fox dan Void Arachne, para peneliti memilih mengelompokkan TA4922 secara terpisah. Alasannya, pola operasi kelompok ini lebih mencerminkan aktivitas kriminal yang berfokus pada keuntungan ekonomi dibandingkan operasi spionase yang umumnya didukung negara.

Sejak Maret lalu, aktivitas TA4922 mengalami lonjakan tajam. Bahkan sejak April, kelompok ini tercatat menjalankan lebih banyak kampanye serangan dibandingkan sebagian besar kelompok kejahatan siber lain yang dipantau oleh Proofpoint. Mereka juga dikenal sangat fleksibel dalam memilih target serta menggunakan berbagai metode umpan untuk memperdaya korban.

"TA4922 saat ini menjalankan lebih banyak kampanye unik dibandingkan aktor kejahatan siber lainnya yang kami pantau," tulis Proofpoint dalam laporannya.

Meski motif utama kelompok ini diyakini untuk memperoleh keuntungan finansial, para peneliti mengingatkan bahwa kemampuan malware yang digunakan juga dapat dimanfaatkan untuk kegiatan pengawasan digital. Dengan kata lain, teknologi yang dikembangkan oleh kelompok ini berpotensi digunakan atau bahkan dijual kepada pihak lain yang memiliki kepentingan spionase.

Memanfaatkan Phishing dan Pesan Palsu

Seperti banyak kelompok kejahatan siber modern lainnya, TA4922 sangat mengandalkan teknik phishing untuk menjebak korbannya. Namun yang membuat kelompok ini berbeda adalah kemampuannya menyesuaikan isi pesan dengan kondisi dan bahasa lokal di negara target.

Para pelaku membuat berbagai pesan palsu yang tampak berasal dari sumber resmi dan terpercaya. Beberapa tema yang sering digunakan antara lain pemberitahuan penggajian karyawan, audit pajak, pelaporan Pajak Pertambahan Nilai (PPN), pemberitahuan kepatuhan dari pemerintah, tagihan pembayaran atau invoice, hingga komunikasi yang mengatasnamakan departemen sumber daya manusia (HR).

Dengan memanfaatkan isu-isu yang dekat dengan aktivitas pekerjaan sehari-hari, para pelaku berharap korban akan lebih mudah terpancing untuk membuka lampiran berbahaya atau mengklik tautan yang telah disiapkan.

Tidak hanya melalui email, TA4922 juga diketahui menggunakan berbagai platform komunikasi populer untuk menjangkau target. Peneliti menemukan upaya kontak yang dilakukan melalui WhatsApp, LINE, dan Microsoft Teams. Pendekatan melalui aplikasi pesan instan ini menunjukkan bahwa para pelaku terus beradaptasi mengikuti kebiasaan komunikasi pengguna modern.

Atlas RAT, Malware Baru yang Sangat Berbahaya

Salah satu temuan paling penting dalam laporan Proofpoint adalah kemunculan Atlas RAT. Malware ini sebelumnya belum pernah didokumentasikan dan kini menjadi salah satu senjata utama yang digunakan dalam kampanye serangan TA4922.

Atlas RAT dirancang untuk memberikan akses jarak jauh kepada penyerang setelah berhasil menginfeksi perangkat korban. Dengan malware ini, pelaku dapat mengumpulkan informasi sistem, mencuri file penting, mengunduh modul tambahan, serta menjalankan berbagai perintah dari jarak jauh.

Kemampuan Atlas RAT tergolong sangat luas. Malware ini dapat merekam aktivitas keyboard korban melalui teknik keylogging, mengambil tangkapan layar, mengaktifkan mikrofon untuk merekam suara di sekitar perangkat, hingga mengakses webcam tanpa sepengetahuan pengguna.

Selain itu, pelaku juga dapat mematikan atau me-restart komputer korban dari jarak jauh. Fitur-fitur tersebut membuat Atlas RAT tidak hanya berbahaya untuk pencurian data, tetapi juga berpotensi digunakan dalam aktivitas pemantauan dan pengawasan secara diam-diam.

Yang lebih mengkhawatirkan, malware ini dilengkapi berbagai mekanisme untuk menghindari deteksi oleh sistem keamanan. Atlas RAT mampu memeriksa apakah dirinya sedang dijalankan di lingkungan analisis atau sandbox yang biasa digunakan peneliti keamanan untuk mempelajari malware. Jika mendeteksi kondisi tersebut, malware dapat mengubah perilakunya agar tidak mudah dianalisis.

Dugaan Pemanfaatan AI untuk Mengembangkan Malware

Dalam laporan yang sama, Proofpoint mengungkap indikasi bahwa TA4922 kemungkinan memanfaatkan teknologi kecerdasan buatan generatif atau Large Language Models (LLM) untuk mempercepat proses pengembangan malware.

Dugaan tersebut muncul setelah para peneliti menemukan sejumlah karakteristik yang sering ditemukan pada kode yang dihasilkan AI, seperti penggunaan nilai placeholder, komentar tertentu dalam kode program, serta pola penulisan yang khas.

Meski belum dapat dipastikan sepenuhnya, temuan ini menunjukkan bahwa teknologi AI kini tidak hanya dimanfaatkan untuk tujuan produktif, tetapi juga mulai digunakan oleh pelaku kejahatan siber untuk meningkatkan efisiensi pengembangan perangkat berbahaya.

Munculnya RomulusLoader dan SilentRunLoader

Selain Atlas RAT, para peneliti juga menemukan malware baru lainnya yang digunakan dalam kampanye serangan TA4922, yaitu RomulusLoader dan SilentRunLoader.

RomulusLoader berfungsi sebagai malware pemuat atau loader yang bertugas mengunduh dan menjalankan malware tambahan di perangkat korban. Malware ini memanfaatkan teknik-teknik canggih seperti process hollowing, shellcode injection, dan eksekusi langsung payload untuk menghindari deteksi sistem keamanan.

Menariknya, RomulusLoader diketahui digunakan untuk menjalankan perangkat lunak akses jarak jauh yang sebenarnya legal dan banyak digunakan secara sah, seperti AnyDesk dan SyncFuture. Namun dalam tangan pelaku kejahatan siber, perangkat lunak tersebut dimanfaatkan untuk mempertahankan akses ke sistem yang telah berhasil diretas.

Sementara itu, SilentRunLoader merupakan malware berbasis Python yang berfokus pada pencurian informasi. Malware ini mampu mengambil kredensial akun yang tersimpan di browser Google Chrome, mencuri cookie, hingga mengakses riwayat penelusuran internet pengguna.

Proofpoint menemukan bahwa SilentRunLoader digunakan dalam serangan terhadap organisasi di Inggris dan Asia Tenggara dengan menyamar sebagai layanan resmi pemerintah.

Winos4.0 Masih Menjadi Senjata Andalan

Meskipun terus mengembangkan malware baru, TA4922 tetap menggunakan sejumlah malware lama yang masih efektif. Salah satunya adalah Winos4.0, yang oleh Proofpoint dilacak dengan nama ValleyRAT.

Malware ini menyediakan berbagai fitur akses jarak jauh yang memungkinkan pelaku mengendalikan sistem korban secara menyeluruh. Kemampuannya yang lengkap membuat Winos4.0 tetap menjadi salah satu alat favorit dalam berbagai operasi kelompok tersebut.

Ancaman yang Terus Berkembang

Laporan terbaru Proofpoint menunjukkan bahwa TA4922 kini menjadi salah satu kelompok kejahatan siber paling aktif di dunia. Mereka tidak hanya meningkatkan jumlah serangan, tetapi juga terus memperbarui teknik dan malware yang digunakan agar lebih sulit dideteksi.

Para peneliti mengingatkan bahwa ancaman dari kelompok ini tidak boleh dianggap remeh. Selain berpotensi menyebabkan kerugian finansial melalui pencurian data dan penipuan, malware yang mereka gunakan juga memiliki kemampuan pengawasan yang dapat dimanfaatkan untuk aktivitas spionase digital.

Karena itu, organisasi dan perusahaan di berbagai sektor disarankan untuk meningkatkan kewaspadaan terhadap email, pesan, maupun lampiran yang mencurigakan. Proofpoint juga telah merilis berbagai indikator kompromi (IoC) dan informasi mengenai infrastruktur command-and-control (C2) yang digunakan TA4922 untuk membantu tim keamanan siber mendeteksi dan mencegah serangan lebih dini.

Dengan semakin canggihnya malware dan teknik yang digunakan pelaku, ancaman siber global diperkirakan akan terus berkembang. Kemunculan Atlas RAT menjadi pengingat bahwa perang melawan kejahatan siber kini memasuki babak baru yang semakin kompleks dan menantang.