Serangan Siber Canggih Guncang Telekomunikasi Eropa

Dunia siber kembali diguncang oleh laporan terbaru dari Darktrace, perusahaan keamanan siber asal Inggris, yang mengungkap serangan canggih terhadap sebuah organisasi telekomunikasi di Eropa. Aksi ini diduga kuat dilakukan oleh kelompok peretas asal Tiongkok bernama Salt Typhoon, yang memanfaatkan celah keamanan Citrix NetScaler Gateway serta menyebarkan malware berbahaya Snappybee untuk menyusup ke jaringan target.

Serangan ini terjadi pada awal Juli 2025, dan menurut Darktrace, upaya tersebut berhasil dideteksi serta dihentikan sebelum menimbulkan kerusakan yang lebih luas. Namun, pola serangan yang digunakan memperlihatkan tingkat kecanggihan tinggi dan strategi penyamaran yang sulit dideteksi, menandai babak baru dalam perang siber lintas negara.

 
Salt Typhoon: Bayangan Siber dari Timur

Kelompok Salt Typhoon bukan nama asing di dunia keamanan siber. Dikenal juga dengan berbagai alias seperti Earth Estries, FamousSparrow, GhostEmperor, dan UNC5807, grup ini merupakan kelompok ancaman siber tingkat lanjut (APT) yang telah aktif sejak tahun 2019.

Menurut berbagai laporan intelijen siber, kelompok ini memiliki hubungan erat dengan kepentingan negara Tiongkok. Mereka dikenal menargetkan infrastruktur penting seperti penyedia layanan telekomunikasi, sistem energi, dan jaringan pemerintahan di berbagai negara, termasuk Amerika Serikat dan Eropa.

Salt Typhoon memiliki reputasi sebagai peretas yang:

• Eksploitatif dan strategis, mampu menemukan serta memanfaatkan celah pada perangkat tepi (edge devices) seperti router, gateway, dan server akses.
• Bersifat persisten, mampu bertahan dalam sistem korban untuk waktu lama tanpa terdeteksi.
• Bermotif spionase, dengan rekam jejak pencurian data sensitif di lebih dari 80 negara, meliputi Amerika Utara, Eropa, Timur Tengah, dan Afrika.
   

Celah Citrix Jadi Pintu Masuk

Serangan terhadap organisasi telekomunikasi Eropa ini dimulai ketika Salt Typhoon mengeksploitasi kerentanan dalam Citrix NetScaler Gateway, sebuah perangkat yang umum digunakan oleh perusahaan besar untuk mengelola akses jarak jauh yang aman.

Dengan memanfaatkan celah ini, para peretas mendapatkan akses awal ke sistem internal korban. Setelah itu, mereka memperluas serangan ke Citrix Virtual Delivery Agent (VDA) di dalam subnet Machine Creation Services (MCS) milik perusahaan.

Langkah tersebut memungkinkan mereka untuk berpindah antar sistem tanpa terdeteksi, sembari menggunakan SoftEther VPN — alat open-source yang biasa digunakan untuk koneksi aman, namun dalam hal ini disalahgunakan untuk menyembunyikan lokasi asli dan lalu lintas komunikasi mereka.

 
Snappybee: Senjata Baru yang Licik

Dalam penyelidikan Darktrace, ditemukan malware canggih bernama Snappybee, atau dikenal juga sebagai Deed RAT. Malware ini diyakini merupakan generasi penerus dari ShadowPad (alias PoisonPlug), perangkat lunak berbahaya yang sebelumnya digunakan oleh grup yang sama.

Snappybee menggunakan teknik DLL side-loading, yaitu metode yang memanfaatkan file sah dari perangkat lunak lain untuk menjalankan kode berbahaya. Teknik ini memungkinkan malware beroperasi tanpa menimbulkan kecurigaan dari sistem antivirus tradisional.

Lebih mencengangkan lagi, malware ini disamarkan bersamaan dengan file asli dari perangkat lunak antivirus populer, seperti:

• Norton Antivirus
• Bkav Antivirus
• IObit Malware Fighter

“Pola aktivitas ini menunjukkan bahwa penyerang mengandalkan teknik DLL side-loading melalui perangkat lunak antivirus yang sah untuk menjalankan payload mereka,” ujar pihak Darktrace dalam laporan resminya.

 
Komunikasi Rahasia ke Server Luar Negeri

Setelah aktif, Snappybee mencoba melakukan komunikasi ke server eksternal dengan alamat:

“aar.gandhibludtric[.]com”

Malware tersebut mengirimkan data menggunakan protokol HTTP serta satu protokol berbasis TCP yang belum diidentifikasi. Server ini berfungsi sebagai pusat kendali (Command and Control/C2) yang digunakan oleh Salt Typhoon untuk memantau aktivitas dan memberi perintah kepada malware di jaringan korban.

Darktrace menegaskan bahwa serangan berhasil dihentikan sebelum malware dapat melakukan eksfiltrasi data penting atau memperluas kontrolnya lebih dalam ke jaringan telekomunikasi.

 
Analisis Lanjutan dari Silent Push

Dalam laporan tindak lanjut yang diterbitkan pada 24 Oktober 2025, perusahaan keamanan siber Silent Push mengonfirmasi bahwa domain “aar.gandhibludtric[.]com” pertama kali aktif sejak 5 Mei 2025, dan terhubung ke alamat IP 38.54.63.75.

Penelusuran lebih lanjut menunjukkan bahwa Salt Typhoon menggunakan layanan Virtual Private Server (VPS) dari LightNode untuk mengelola infrastruktur kontrol mereka. Komunikasi antar sistem dilakukan melalui HTTP dan protokol TCP khusus, dengan pola lalu lintas yang khas:

• Menggunakan user agent Internet Explorer, dan
• URI dengan pola seperti /17ABE7F017ABE7F0, yang sesuai dengan tanda tangan serangan Salt Typhoon di berbagai insiden sebelumnya.
   

Tantangan Baru bagi Keamanan Global

Serangan ini kembali menjadi peringatan keras bagi dunia industri dan pemerintahan, khususnya yang mengelola infrastruktur penting seperti jaringan telekomunikasi. Salt Typhoon menunjukkan bahwa bahkan alat keamanan tepercaya seperti antivirus dan VPN dapat dimanfaatkan untuk tujuan berbahaya.

Dengan kemampuan beradaptasi yang luar biasa, kelompok ini terus memperbarui taktik dan infrastruktur serangannya, menjadikan mereka salah satu musuh paling berbahaya di ranah siber global.

Darktrace menekankan bahwa serangan seperti ini sulit dideteksi oleh sistem keamanan tradisional karena memanfaatkan perangkat lunak sah dan pola lalu lintas normal. Oleh karena itu, pemantauan berbasis kecerdasan buatan (AI) dan analisis perilaku (behavioral analytics) kini menjadi kebutuhan penting bagi organisasi besar.

 
Langkah Pencegahan dan Imbauan

Para pakar keamanan menyarankan agar organisasi di seluruh dunia segera:

• Memperbarui patch keamanan pada perangkat Citrix, VPN, dan sistem akses jarak jauh.
• Mengimplementasikan sistem deteksi anomali jaringan untuk mengenali aktivitas mencurigakan sejak dini.
• Melakukan audit keamanan berkala pada perangkat tepi (edge devices) yang sering menjadi target eksploitasi.
• Menggunakan solusi keamanan berbasis AI yang mampu mendeteksi perilaku abnormal, seperti yang digunakan Darktrace.

Serangan terhadap jaringan telekomunikasi Eropa ini menjadi contoh nyata bahwa spionase digital antarnegara masih berlangsung aktif dan semakin kompleks. Dengan kombinasi teknik lama dan alat baru seperti Snappybee, Salt Typhoon membuktikan bahwa dunia siber terus menjadi medan pertempuran yang tak terlihat.

Bagi banyak organisasi, serangan ini bukan sekadar ancaman teknis, tetapi juga peringatan strategis bahwa keamanan digital kini adalah garis pertahanan pertama dan terakhir dalam menjaga kedaulatan data dan infrastruktur nasional.