Berita Terbaru

Serangan Siber Tiongkok Targetkan Cloud & Industri Telekomunikasi

Ilustrasi Serangan Siber Tiongkok

Ilustrasi Serangan Siber Tiongkok

Dunia siber kembali diguncang dengan laporan terbaru dari CrowdStrike, yang mengungkap meningkatnya aktivitas mata-mata siber dari kelompok peretas terkait Tiongkok. Tiga nama besar yang menjadi sorotan adalah Murky Panda, Genesis Panda, dan Glacial Panda. Mereka diduga melakukan operasi spionase yang semakin canggih, khususnya terhadap layanan cloud computing dan telekomunikasi, dua sektor yang menyimpan data krusial dan bernilai tinggi.

Dalam laporan yang dirilis pada Kamis lalu, CrowdStrike menekankan bahwa taktik kelompok-kelompok ini tidak hanya mengandalkan kerentanan teknis, tetapi juga menyalahgunakan hubungan kepercayaan antarorganisasi, menjadikan serangan mereka semakin sulit dideteksi.

 
Murky Panda: Menyusup Lewat Cloud dan Zero-Day Exploit

Kelompok Murky Panda, juga dikenal sebagai Silk Typhoon (sebelumnya Hafnium), bukanlah nama baru di dunia peretasan. Mereka sempat mencuri perhatian pada tahun 2021 dengan memanfaatkan celah zero-day di Microsoft Exchange Server yang menyebabkan kebocoran data besar-besaran.

Kini, Murky Panda kembali dengan taktik baru. Mereka menargetkan rantai pasokan teknologi informasi (IT supply chain) untuk mendapatkan akses awal ke jaringan perusahaan. Dengan memanfaatkan celah keamanan pada perangkat yang terhubung ke internet, kelompok ini kerap berhasil masuk tanpa terdeteksi.

CrowdStrike mengungkap bahwa Murky Panda juga diduga menyusupi perangkat Small Office/Home Office (SOHO) di negara target. Strategi ini digunakan untuk menyamarkan jejak mereka, seolah-olah aktivitas berasal dari lokasi sah di dalam negeri.

Beberapa teknik serangan yang mereka gunakan antara lain:

  • Mengeksploitasi kerentanan Citrix NetScaler ADC/Gateway (CVE-2023-3519).
  • Mengeksploitasi kerentanan Commvault (CVE-2025-3928).
  • Menanam web shell neo-reGeorg untuk menjaga akses berkelanjutan.
  • Menginstal malware CloudedHope, sebuah Remote Access Tool (RAT) berbasis Golang.

CloudedHope didesain untuk melakukan akses jarak jauh, sekaligus menghapus jejak kehadiran peretas melalui manipulasi timestamp dan pembersihan log.

Namun, aspek paling berbahaya dari Murky Panda adalah taktik mereka dalam menyalahgunakan hubungan kepercayaan antar-tenant cloud. Dalam satu kasus pada akhir 2024, kelompok ini diketahui membobol pemasok dari sebuah perusahaan Amerika Utara. Dengan akses administratif yang mereka kuasai, peretas lalu menambahkan akun backdoor ke dalam Microsoft Entra ID tenant korban.

Dari situ, mereka berhasil memodifikasi service principal terkait manajemen Active Directory dan email, dengan tujuan utama mengakses komunikasi internal.

 
Genesis Panda: Eksploitasi Cloud untuk Akses Lebih Dalam

Tak hanya Murky Panda, kelompok Genesis Panda juga mendapat sorotan. Beroperasi sejak awal 2024, Genesis Panda dikenal dengan serangan bervolume tinggi yang menargetkan sektor jasa keuangan, media, telekomunikasi, dan teknologi di setidaknya 11 negara.

Meskipun aktivitas mereka terlihat beragam, banyak analis meyakini bahwa Genesis Panda berperan sebagai initial access broker (IAB), yaitu pihak yang bertugas membuka jalan bagi kelompok lain dengan menjual akses ke jaringan korban.

Beberapa metode serangan Genesis Panda meliputi:

  • Mengeksploitasi berbagai kerentanan aplikasi web.
  • Mengakses dan menyalahgunakan akun cloud service provider (CSP).
  • Menyalahgunakan Instance Metadata Service (IMDS) pada server cloud untuk memperoleh kredensial.
  • Menggunakan kredensial curian dari virtual machine (VM) yang berhasil mereka kuasai.

Dengan strategi ini, Genesis Panda mampu bergerak lateral di dalam jaringan cloud, menjaga persistensi, dan melakukan pengintaian terhadap konfigurasi jaringan. Serangan ini tidak hanya memungkinkan pencurian data, tetapi juga membuka peluang akses jangka panjang yang sulit dideteksi.

CrowdStrike menekankan bahwa kelompok ini sangat fokus pada eksploitasi cloud-hosted system, menunjukkan tren baru bahwa peretas kini lebih memilih memanfaatkan kontrol plane cloud daripada hanya menargetkan perangkat fisik tradisional.

 
Glacial Panda: Membidik Industri Telekomunikasi

Jika Murky Panda dan Genesis Panda fokus pada penyusupan berbasis cloud, kelompok Glacial Panda mengarahkan serangan mereka ke sektor telekomunikasi.

Menurut CrowdStrike, aktivitas peretasan yang terkait negara meningkat 130% dalam setahun terakhir, dengan industri telekomunikasi menjadi sasaran utama karena menyimpan rekaman detail panggilan (call detail records) serta data komunikasi bernilai strategis.

Jejak serangan Glacial Panda ditemukan di berbagai negara, termasuk Afghanistan, Hong Kong, India, Jepang, Kenya, Malaysia, Meksiko, Panama, Filipina, Taiwan, Thailand, dan Amerika Serikat.

Taktik yang digunakan Glacial Panda antara lain:

  • Mengeksploitasi server Linux yang sering digunakan dalam infrastruktur telekomunikasi.
  • Memanfaatkan kerentanan lama, seperti Dirty COW (CVE-2016-5195) dan PwnKit (CVE-2021-4034).
  • Menggunakan teknik Living-off-the-Land (LotL), yakni memanfaatkan alat bawaan sistem untuk menyembunyikan aktivitas berbahaya.
  • Menyebarkan komponen OpenSSH trojanized yang dikenal dengan nama ShieldSlide.

Komponen ShieldSlide ini sangat berbahaya karena selain mencuri kredensial login pengguna, juga memungkinkan akses backdoor ke server dengan password hardcoded, bahkan untuk akun root.

 
Tren Baru Serangan Siber: Fokus ke Cloud dan Telekomunikasi

Laporan CrowdStrike ini menggambarkan tren jelas: kelompok peretas negara semakin fokus pada cloud computing dan telekomunikasi sebagai target utama. Dua sektor ini dianggap sebagai “harta karun intelijen” karena menyimpan data komunikasi, rekam jejak digital, hingga informasi bisnis yang sangat sensitif.

Dengan teknik serangan yang mengandalkan eksploitasi zero-day, penyalahgunaan kepercayaan antarorganisasi, serta pemanfaatan celah keamanan lama, kelompok seperti Murky, Genesis, dan Glacial Panda berhasil memperluas operasi mereka dengan tingkat stealth tinggi.

Lebih jauh, pola serangan ini menunjukkan bahwa cloud tidak hanya menawarkan kemudahan, tetapi juga risiko besar jika tidak dikelola dengan ketat. Begitu pula dengan sektor telekomunikasi yang masih mengandalkan sistem lama (legacy systems) yang rentan terhadap serangan modern.

 
Dampak dan Peringatan bagi Dunia Internasional

Serangan dari kelompok-kelompok ini tidak hanya merugikan korban secara finansial, tetapi juga dapat menimbulkan ancaman geopolitik. Akses ke data komunikasi pemerintah, perusahaan teknologi, hingga lembaga keuangan bisa menjadi senjata strategis dalam konflik internasional.

Pakar keamanan siber menekankan pentingnya:

  • Meningkatkan keamanan cloud dengan memantau aktivitas tenant, memperkuat autentikasi, dan membatasi akses administratif.
  • Menambal kerentanan segera begitu patch keamanan tersedia, terutama untuk perangkat yang terhubung ke internet.
  • Mengawasi supply chain IT, mengingat taktik baru peretas banyak menyasar vendor atau mitra bisnis sebagai titik masuk.
  • Mengganti sistem lama di sektor telekomunikasi yang tidak lagi mendapat dukungan keamanan dari vendor resmi.
  • Menerapkan kebijakan Zero Trust, yang menekankan verifikasi ketat terhadap setiap akses, bahkan dari pengguna internal.

Serangan yang dilakukan oleh Murky Panda, Genesis Panda, dan Glacial Panda menjadi pengingat keras bahwa dunia siber terus berkembang dengan dinamika yang cepat. Target kini bukan hanya perusahaan teknologi besar, tetapi juga supply chain, penyedia cloud, dan operator telekomunikasi.

Dengan kemampuan mengeksploitasi kerentanan baru maupun lama, serta memanfaatkan kepercayaan antarorganisasi, kelompok peretas ini berhasil menunjukkan betapa rapuhnya keamanan digital jika tidak dijaga dengan benar.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait