Kampanye Penipuan CERT-UA Sebar Malware AGEWHEEZE Lewat 1 Juta Email

Tim Tanggap Darurat Komputer Ukraina (CERT-UA) baru-baru ini mengungkap sebuah kampanye phishing yang menyamar sebagai lembaga resmi mereka untuk menyebarkan malware berbahaya bernama AGEWHEEZE. Kampanye ini terjadi pada tanggal 26 dan 27 Maret 2026, dengan target berbagai institusi penting di Ukraina.

Kampanye Penipuan dengan Email Palsu CERT-UA

Pelaku serangan siber yang diidentifikasi sebagai UAC-0255 mengirimkan sekitar 1 juta email phishing yang berpura-pura berasal dari CERT-UA. Email-email ini berisi tautan ke arsip ZIP yang dilindungi kata sandi, diunggah di layanan Files.fm, yang didesain untuk mengelabui penerima agar mengunduh dan menginstal "perangkat lunak khusus" yang sebenarnya adalah malware.

Beberapa email dikirim menggunakan alamat "[email protected]". Target serangan meliputi:

• Organisasi pemerintah
• Pusat medis
• Perusahaan keamanan
• Institusi pendidikan
• Lembaga keuangan
• Perusahaan pengembang perangkat lunak

Teknologi dan Fungsi Malware AGEWHEEZE

Malware AGEWHEEZE dibuat menggunakan bahasa pemrograman Go dan berfungsi sebagai remote access trojan (RAT) yang mampu mengendalikan perangkat korban dari jarak jauh. Malware ini berkomunikasi dengan server eksternal melalui WebSockets pada alamat IP 54.36.237.92.

Fitur utama AGEWHEEZE meliputi:

• Menjalankan perintah sistem
• Operasi file seperti mengunggah dan mengunduh
• Memodifikasi clipboard
• Meniru gerakan mouse dan keyboard
• Pengambilan tangkapan layar (screenshot)
• Manajemen proses dan layanan sistem
• Membuat mekanisme persistensi dengan tugas terjadwal, perubahan registry Windows, dan penambahan ke folder Startup

Hasil dan Dampak Serangan

Meskipun kampanye ini menyebar ke jutaan email, hasil serangan dinilai gagal besar. CERT-UA menyatakan bahwa hanya "beberapa perangkat pribadi milik pegawai institusi pendidikan" yang teridentifikasi terinfeksi. Tim CERT-UA segera memberikan bantuan teknis dan metodologis untuk menangani infeksi tersebut.

Penggunaan Kecerdasan Buatan dalam Kampanye

Analisis terhadap situs web palsu yang digunakan, "cert-ua.tech", menunjukkan kemungkinan besar situs ini dibuat dengan bantuan kecerdasan buatan (AI). Dalam kode HTML ditemukan komentar bertuliskan "С Любовью, КИБЕР СЕРП" yang berarti "Dengan Cinta, CYBER SERP".

Cyber Serp sendiri mengklaim sebagai "operasi bawah tanah siber dari Ukraina" melalui kanal Telegram yang dibuat pada November 2025 dan memiliki lebih dari 700 pengikut. Mereka mengaku bertanggung jawab atas pengiriman email phishing ke 1 juta kotak surat ukr.net dan menyatakan telah menginfeksi lebih dari 200.000 perangkat. Namun, mereka menegaskan tidak akan menyakiti warga sipil biasa Ukraina.

Serangan Terhadap Perusahaan Keamanan Siber Lokal

Bulan lalu, kelompok Cyber Serp juga mengaku bertanggung jawab atas pembobolan perusahaan keamanan siber Ukraina, Cipher. Mereka mengklaim mengakses database klien dan kode sumber produk Cipher, termasuk lini produk CIPS.

Namun, Cipher membantah dampak besar dengan menyatakan melalui situs resminya bahwa akses yang didapat pelaku hanya terbatas pada satu proyek tanpa data sensitif, dan infrastruktur mereka masih beroperasi normal.

Analisis Redaksi

Menurut pandangan redaksi, serangan ini mencerminkan kecanggihan dan keberanian pelaku lokal yang menggunakan teknik social engineering tingkat tinggi dengan memanfaatkan nama lembaga resmi seperti CERT-UA. Walaupun dampaknya terbatas saat ini, potensi risiko keamanan bagi organisasi pemerintah dan sektor penting sangat serius jika serangan semacam ini berhasil menembus sistem lebih dalam.

Penggunaan AI dalam pembuatan situs phishing menunjukkan tren baru dalam serangan siber yang semakin otomatis dan sulit dideteksi. Ini menjadi peringatan bagi semua institusi untuk meningkatkan kesadaran keamanan siber dan menerapkan pelatihan reguler bagi pegawai tentang bahaya phishing.

Ke depan, publik dan organisasi harus terus memantau ancaman ini dan melakukan tindakan preventif. Selain itu, kolaborasi antar lembaga keamanan siber nasional dan internasional perlu diperkuat untuk menghadapi pelaku yang semakin canggih.

Untuk informasi lebih lengkap dan update terbaru, kunjungi artikel aslinya di The Hacker News dan sumber terpercaya lainnya seperti BBC Indonesia.