Silver Dragon Terkait APT41 Serang Pemerintah dengan Cobalt Strike dan Google Drive C2
Kelompok ancaman siber canggih atau Advanced Persistent Threat (APT) yang dikenal sebagai Silver Dragon telah teridentifikasi melakukan serangan terkoordinasi terhadap berbagai entitas pemerintah di Eropa dan Asia Tenggara sejak pertengahan tahun 2024. Berdasarkan laporan dari perusahaan keamanan siber Check Point, Silver Dragon menggunakan teknik mutakhir untuk mendapatkan dan mempertahankan akses dalam sistem target.
Modus Operandi Silver Dragon dalam Menyerang Pemerintah
Check Point menjelaskan bahwa Silver Dragon memperoleh akses awal dengan mengeksploitasi server internet yang terbuka untuk publik serta mengirimkan email phishing berisi lampiran berbahaya. Untuk mempertahankan aksesnya, kelompok ini memanfaatkan layanan Windows asli yang dibajak agar proses malware dapat menyamar seperti aktivitas sistem normal.
"Silver Dragon mendapatkan akses awalnya dengan mengeksploitasi server yang dapat diakses publik dan dengan mengirimkan email phishing berisi lampiran berbahaya," ujar Check Point dalam laporan teknisnya. "Untuk menjaga persistensi, kelompok ini membajak layanan Windows asli sehingga proses malware menyatu dengan aktivitas sistem biasa."
Kelompok ini diperkirakan beroperasi sebagai bagian dari payung APT41, sebuah kelompok peretas China yang terkenal dengan aktivitas spionase siber pada sektor kesehatan, telekomunikasi, teknologi tinggi, pendidikan, layanan perjalanan, dan media sejak 2012. Selain spionase, APT41 juga diduga melakukan aktivitas yang bermotif finansial yang terkadang berjalan di luar kendali negara.
Teknik dan Rantai Infeksi yang Digunakan Silver Dragon
Serangan Silver Dragon yang utama menyasar entitas pemerintahan dengan menggunakan beacon Cobalt Strike untuk mempertahankan akses di host yang sudah terinfeksi. Kelompok ini juga memanfaatkan teknik tunneling DNS untuk komunikasi command-and-control (C2) agar tidak mudah terdeteksi oleh sistem keamanan.
Check Point mengidentifikasi tiga rantai infeksi berbeda yang digunakan untuk mengantarkan Cobalt Strike, yaitu:
- AppDomain hijacking
- Service DLL hijacking
- Email phishing berbasis lampiran berbahaya
Rantai pertama dan kedua menunjukkan tumpang tindih operasional yang jelas. Keduanya biasanya dikirim melalui arsip terkompresi dan digunakan pada tahap post-eksploitasi, terutama setelah server yang rentan berhasil dikompromikan.
Dalam dua rantai tersebut, sebuah arsip RAR berisi skrip batch digunakan untuk meluncurkan malware. Rantai pertama menggunakan MonikerLoader, loader berbasis .NET yang mendekripsi dan menjalankan tahap kedua langsung di memori. Tahap kedua ini berfungsi sebagai penghubung untuk memuat payload beacon Cobalt Strike akhir.
Sementara itu, rantai service DLL mengandalkan skrip batch untuk mengantarkan loader DLL shellcode bernama BamboLoader yang didaftarkan sebagai layanan Windows. Malware C++ yang sangat terobfuscate ini mendekripsi dan mendekompress shellcode yang disimpan di disk, lalu menyuntikkannya ke proses Windows resmi seperti taskhost.exe. Target injeksi dapat dikonfigurasi sesuai kebutuhan.
Rantai infeksi ketiga menggunakan kampanye phishing yang terutama menyasar Uzbekistan dengan lampiran shortcut Windows (.LNK) berbahaya. File LNK ini menjalankan kode PowerShell melalui cmd.exe yang mengekstrak dan menjalankan payload tahap selanjutnya, termasuk:
- Dokumen decoy
- File executable asli rentan terhadap DLL side-loading (GameHook.exe)
- DLL berbahaya (BamboLoader, bernama graphics-hook-filter64.dll)
- Payload terenkripsi Cobalt Strike (simhei.dat)
Dokumen decoy ditampilkan agar korban tidak curiga, sementara DLL jahat disisipkan melalui GameHook.exe untuk meluncurkan Cobalt Strike secara tersembunyi.
Peralatan Post-Eksploitasi dan Komunikasi Melalui Google Drive
Kampanye Silver Dragon juga dikenal menggunakan sejumlah alat post-eksploitasi canggih, di antaranya:
- SilverScreen: Alat monitoring layar berbasis .NET yang mengambil screenshot secara berkala termasuk posisi kursor.
- SSHcmd: Utilitas baris perintah SSH .NET untuk eksekusi perintah dan transfer file jarak jauh.
- GearDoor: Backdoor .NET yang mirip dengan MonikerLoader, melakukan komunikasi C2 melalui Google Drive.
Backdoor GearDoor melakukan autentikasi ke akun Google Drive yang dikendalikan penyerang dan mengunggah file heartbeat berisi informasi sistem dasar. File komunikasi menggunakan ekstensi yang berbeda untuk menandai jenis tugas yang harus dijalankan:
- .png – mengirim file heartbeat
- .pdf – menerima dan menjalankan perintah seperti listing direktori, membuat direktori baru, dan menghapus file, dengan hasil dikirim sebagai file .db
- .cab – menerima perintah untuk mengumpulkan informasi host, menjalankan perintah melalui cmd.exe atau tugas terjadwal, mengunggah file, dan mengakhiri implant, dengan status dikirim sebagai file .bak
- .rar – menerima dan menjalankan payload; jika bernama "wiatrace.bak" dianggap paket pembaruan mandiri, hasilnya dikirim sebagai .bak
- .7z – menerima dan menjalankan plugin di memori, hasil dikirim sebagai .bak
Hubungan Silver Dragon dengan APT41 dan Perkembangan Terbaru
Hubungan Silver Dragon dengan APT41 diperkuat oleh kemiripan teknik dan skrip instalasi post-eksploitasi yang sudah lama dikaitkan dengan APT41. Mekanisme dekripsi BamboLoader juga telah ditemukan dalam loader shellcode yang terkait dengan aktivitas APT berafiliasi China.
Menurut Check Point, kelompok ini terus mengembangkan alat dan tekniknya, secara aktif menguji dan menerapkan kemampuan baru di berbagai kampanye. Penggunaan eksploitasi kerentanan yang beragam, loader khusus, dan komunikasi C2 berbasis file yang kompleks menunjukkan bahwa Silver Dragon adalah kelompok ancaman yang memiliki sumber daya besar dan kemampuan adaptasi tinggi.
Analisis Redaksi
Menurut pandangan redaksi, kemunculan Silver Dragon yang terkait erat dengan APT41 menandai tren serangan siber yang semakin terorganisir dan canggih, terutama yang menargetkan sektor pemerintahan di wilayah strategis seperti Asia Tenggara dan Eropa. Pemanfaatan infrastruktur populer seperti Google Drive sebagai kanal komunikasi C2 merupakan langkah inovatif yang mempersulit deteksi dan mitigasi oleh tim keamanan siber.
Selain itu, keberagaman rantai infeksi dan teknik post-eksploitasi menunjukkan bahwa kelompok ini tidak hanya mengandalkan satu cara serangan saja, melainkan menggabungkan berbagai metode untuk memastikan keberhasilan dan kelangsungan operasi mereka. Hal ini mengindikasikan bahwa para pelaku memiliki tim pengembangan malware yang kuat dan sumber daya yang cukup untuk melakukan serangan jangka panjang.
Masyarakat dan institusi pemerintah wajib meningkatkan kewaspadaan dan memperkuat sistem pertahanan siber mereka, terutama dengan melakukan pemantauan aktif terhadap aktivitas phishing dan memperbarui serta mengamankan server yang terekspos ke internet. Ke depan, kita harus mengantisipasi evolusi teknik serangan yang semakin sulit dideteksi, sehingga kerja sama internasional dan pertukaran intelijen siber menjadi sangat krusial.
Terus ikuti perkembangan terbaru dan strategi mitigasi ancaman siber untuk melindungi aset digital penting dari kelompok seperti Silver Dragon dan APT41.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
