Serangan Siber Targetkan Pemerintah Asia Tenggara via USB

Sebuah kampanye spionase siber berskala besar berhasil diungkap dan menjadi perhatian serius di kawasan Asia Tenggara. Serangan ini menargetkan salah satu organisasi pemerintah dengan metode yang sangat terstruktur dan canggih. Para pelaku memanfaatkan kombinasi malware berbasis USB, Remote Access Trojan (RAT), serta perangkat pencuri data untuk menyusup dan mempertahankan akses dalam jangka panjang ke sistem yang sensitif.

Berdasarkan temuan para peneliti keamanan siber, operasi ini berlangsung selama periode Juni hingga Agustus 2025. Yang mengejutkan, terdapat tiga kelompok aktivitas berbeda yang beroperasi secara bersamaan dalam satu jaringan korban. Ketiganya diyakini memiliki keterkaitan kuat dengan kelompok peretas yang berafiliasi dengan China, meskipun menggunakan pendekatan dan alat yang berbeda-beda.

Ketiga kelompok tersebut tampaknya memiliki satu tujuan utama yang sama, yakni memperoleh akses jangka panjang ke sistem pemerintah bernilai tinggi dan mengumpulkan informasi penting secara diam-diam.

Kelompok pertama diidentifikasi sebagai Stately Taurus, aktor ancaman yang telah lama dikenal dalam dunia keamanan siber. Mereka menggunakan worm USB bernama USBFect, yang juga dikenal dengan nama HIUPAN. Malware ini berfungsi untuk menyebarkan backdoor bernama PUBLOAD ke berbagai perangkat dalam jaringan pemerintah.

Sementara itu, kelompok kedua yang dilacak sebagai CL-STA-1048 menggunakan perangkat yang lebih kompleks dan lengkap. Mereka mengandalkan berbagai alat spionase digital seperti backdoor EggStremeFuel, Masol RAT, EggStreme Loader, Gorem RAT, serta alat pencuri data bernama TrackBak. Kombinasi ini memungkinkan mereka melakukan pengintaian secara menyeluruh terhadap sistem target.

Kelompok ketiga, CL-STA-1049, memilih pendekatan yang lebih tersembunyi. Mereka menggunakan loader baru bernama Hypnosis untuk memasang FluffyGh0st RAT secara diam-diam tanpa menimbulkan kecurigaan. Strategi ini menunjukkan tingkat kecanggihan yang tinggi dalam menghindari deteksi sistem keamanan.

Peneliti dari Unit 42 mengungkap bahwa ketiga kelompok ini beroperasi secara bersamaan dalam lingkungan yang sama. Meskipun tidak menggunakan alat yang identik, seluruh aktivitas mereka mengarah pada upaya mempertahankan akses jangka panjang ke sistem korban. Hal ini menandakan adanya kemungkinan koordinasi atau setidaknya kesamaan tujuan strategis di antara kelompok-kelompok tersebut.

Lebih jauh, ditemukan pula hubungan antara kelompok CL-STA-1048 dengan Earth Estries serta kampanye Crimson Palace yang sebelumnya telah dilaporkan. Sementara itu, aktivitas CL-STA-1049 memiliki kemiripan dengan kelompok peretas yang dikenal sebagai Unfading Sea Haze. Keterkaitan ini memperkuat dugaan adanya jaringan operasi yang saling berbagi informasi, target, atau bahkan infrastruktur.

Dampak dari serangan ini tidak hanya terbatas pada pencurian data biasa. Para penyerang juga menggunakan berbagai alat tambahan seperti keylogger untuk merekam ketikan, pencuri clipboard untuk mengambil data yang disalin pengguna, pengumpul file, hingga reverse shell yang memungkinkan akses jarak jauh secara penuh ke sistem korban.

Salah satu alat yang paling berbahaya adalah TrackBak. Malware ini menyamar sebagai file log milik Microsoft Edge sehingga tampak tidak mencurigakan. Padahal, di balik penyamarannya, TrackBak secara diam-diam mengumpulkan berbagai data penting, mulai dari aktivitas keyboard, isi clipboard, data jaringan, hingga file dari perangkat yang terhubung.

Dengan akses yang terus berlangsung tanpa terdeteksi, para peretas dapat memetakan struktur sistem internal, memantau komunikasi, serta mengidentifikasi data sensitif dalam jangka waktu yang panjang. Inilah yang membuat serangan ini sangat berbahaya dan sulit dideteksi.

Infeksi Melalui USB yang Sulit Dilacak

Salah satu metode paling unik dalam kampanye ini adalah penggunaan worm berbasis USB untuk menyebarkan malware. USBFect bekerja dengan cara memantau setiap perangkat penyimpanan eksternal yang terhubung ke komputer. Ketika sebuah USB dicolokkan, malware ini secara otomatis menyalin dirinya ke dalam perangkat tersebut.

Dengan cara ini, penyebaran malware dapat terjadi secara berantai dari satu perangkat ke perangkat lainnya tanpa memerlukan koneksi internet. Metode ini sangat efektif, terutama di lingkungan dengan keamanan jaringan yang ketat namun masih mengizinkan penggunaan perangkat USB.

Setelah berhasil masuk ke sistem, USBFect menyimpan file-file berbahaya di lokasi yang menyerupai direktori resmi milik Windows dan Intel. Contohnya seperti folder ProgramData/Intel atau ProgramData/intel. Penamaan file seperti EVENT.dll dan UsbConfig.exe dibuat agar terlihat seperti bagian dari sistem yang sah.

Teknik penyamaran ini membuat malware sulit terdeteksi, bahkan oleh administrator sistem yang berpengalaman sekalipun. Banyak sistem keamanan yang tidak langsung mencurigai file karena terlihat seperti komponen resmi.

Di dalam USBFect terdapat komponen penting bernama ClaimLoader, yaitu loader shellcode yang bertugas menjalankan kode berbahaya utama. ClaimLoader menggunakan metode enkripsi XOR untuk menyembunyikan payload, lalu menjalankannya melalui teknik khusus menggunakan API Windows agar tidak terdeteksi oleh sistem keamanan.

Payload utama yang dijalankan adalah PUBLOAD, sebuah backdoor yang memungkinkan komunikasi dengan server kendali milik penyerang. Menariknya, komunikasi ini disamarkan menyerupai lalu lintas TLS biasa sehingga sulit dibedakan dari aktivitas jaringan normal.

Setelah terhubung, PUBLOAD akan mengumpulkan berbagai informasi penting dari sistem korban, seperti nama komputer, nama pengguna, serta detail penyimpanan. Data ini kemudian dikirimkan kembali ke penyerang dalam bentuk terenkripsi.

Langkah Pencegahan yang Perlu Dilakukan

Melihat kompleksitas dan bahaya dari serangan ini, organisasi yang menangani data sensitif, terutama instansi pemerintah, perlu meningkatkan kewaspadaan. Beberapa langkah pencegahan yang dapat dilakukan antara lain adalah menonaktifkan fitur AutoRun pada perangkat USB untuk mencegah eksekusi otomatis malware.

Selain itu, penerapan kebijakan ketat terkait penggunaan perangkat USB juga sangat penting. Organisasi perlu membatasi akses hanya pada perangkat yang terpercaya dan terverifikasi.

Pemantauan aktivitas sistem secara aktif juga menjadi kunci. Terutama terhadap pemuatan file DLL di direktori yang menyerupai sistem resmi, karena ini sering menjadi teknik penyamaran malware.

Pendekatan deteksi berbasis perilaku juga perlu diterapkan untuk mengidentifikasi aktivitas mencurigakan, seperti eksekusi kode di memori yang tidak biasa. Terakhir, memastikan sistem keamanan endpoint selalu diperbarui akan membantu dalam mendeteksi ancaman terbaru.

Serangan ini menjadi pengingat bahwa ancaman siber semakin kompleks dan terorganisir. Tanpa langkah pencegahan yang tepat, risiko kebocoran data dan gangguan operasional akan semakin besar, terutama bagi institusi yang menyimpan informasi penting negara.