Peretas Terkait DPRK Manfaatkan GitHub sebagai C2 dalam Serangan Bertahap ke Korsel

Kelompok peretas yang diduga terkait dengan Republik Rakyat Demokratik Korea (DPRK) telah terpantau menggunakan platform GitHub sebagai infrastruktur command-and-control (C2) dalam serangan bertahap yang menargetkan berbagai organisasi di Korea Selatan. Serangan ini mengandalkan metode phishing dan teknik berlapis yang membuatnya sulit terdeteksi dan memberikan kontrol jangka panjang terhadap sistem korban.

Rantai Serangan Menggunakan File LNK dan PowerShell

Berdasarkan laporan dari Fortinet FortiGuard Labs, serangan dimulai dengan distribusi file Windows shortcut (LNK) yang telah disamarkan melalui email phishing. File LNK ini berfungsi sebagai pintu masuk untuk mengeksekusi dua payload utama: dokumen PDF umpan dan skrip PowerShell yang berjalan diam-diam di latar belakang.

Setelah payload terunduh, korban melihat dokumen PDF palsu, sementara skrip PowerShell mulai melakukan serangkaian pemeriksaan untuk menghindari analisis. Skrip ini mencari proses yang berhubungan dengan mesin virtual, debugger, dan alat forensik. Jika terdeteksi, skrip segera berhenti agar tidak terungkap.

Jika lingkungan aman, skrip tersebut mengekstrak Visual Basic Script (VBScript) dan mengatur mekanisme persistence melalui tugas terjadwal yang menjalankan payload PowerShell setiap 30 menit secara tersembunyi. Ini memastikan kontrol terus berlanjut bahkan setelah komputer di-reboot.

Manfaatkan GitHub untuk Menyembunyikan Aktivitas C2

Skrip PowerShell kemudian melakukan profiling terhadap host yang diretas dan menyimpan hasilnya ke file log. Data ini kemudian dieksfiltrasi ke repositori di GitHub milik akun-akun seperti "motoralis", "God0808RAMA", "Pigresy80", "entire73", "pandora0009", dan "brandonleeodd93-blip" menggunakan token akses yang sudah dikodekan.

Akun-akun GitHub ini menjadi pusat komunikasi yang mengizinkan operator untuk mengirim modul tambahan atau instruksi baru dengan memanfaatkan kepercayaan pengguna terhadap platform GitHub. Dengan metode ini, peretas dapat menyembunyikan aktivitas mereka dan mempertahankan kontrol atas sistem korban secara persisten.

Historis dan Evolusi Serangan oleh Grup Kimsuky

Fortinet menegaskan bahwa serangan sebelumnya juga menggunakan file LNK untuk menyebarkan malware seperti Xeno RAT. Penggunaan GitHub sebagai C2 untuk malware Xeno RAT dan variannya, MoonPeak, sudah pernah dilaporkan oleh ENKI dan Trellix tahun lalu dan dikaitkan dengan kelompok peretas Kimsuky yang berafiliasi dengan Korea Utara.

"Alih-alih bergantung pada malware khusus yang rumit, pelaku menggunakan alat bawaan Windows untuk penyebaran, pengelakan, dan persistence," ujar peneliti keamanan Cara Lin. "Dengan meminimalkan penggunaan file PE yang diunduh dan memanfaatkan LolBins, penyerang dapat menargetkan audiens luas dengan tingkat deteksi yang rendah."

Sejalan dengan temuan tersebut, AhnLab mengungkap rantai infeksi berbasis LNK dari Kimsuky yang berakhir dengan pemasangan backdoor berbasis Python. Dalam serangan ini, file LNK menjalankan skrip PowerShell dan membuat folder tersembunyi di C:\windirr untuk menyimpan payload seperti PDF palsu dan file LNK tambahan yang meniru dokumen Hangul Word Processor (HWP).

Payload selanjutnya menggunakan Dropbox sebagai kanal C2 untuk mengambil skrip batch yang mengunduh dan menggabungkan dua file ZIP dari server quickcon[.]store. File gabungan ini diekstrak menjadi sebuah tugas penjadwalan XML dan backdoor Python yang diluncurkan sebagai implant.

Malware Python ini dapat mengunduh payload tambahan, mengeksekusi perintah dari server C2, menjalankan skrip shell, mengelola file, serta menjalankan file BAT, VBScript, dan EXE.

Perkembangan Teknik Serangan Terbaru: RokRAT dan OLE HWP

Selain itu, kelompok ScarCruft juga diketahui beralih dari rantai serangan berbasis LNK ke metode baru menggunakan dropper berbasis OLE dalam dokumen HWP untuk menyebarkan RokRAT, trojan akses jarak jauh yang digunakan eksklusif oleh peretas Korea Utara. Malware ini disematkan sebagai objek OLE dalam dokumen HWP dan dijalankan melalui teknik DLL side-loading.

"Berbeda dengan rantai serangan sebelumnya yang melibatkan skrip BAT yang dijatuhkan oleh LNK, kasus ini memperlihatkan penggunaan dropper dan downloader malware baru untuk mengirim shellcode dan payload RokRAT," ungkap perusahaan keamanan asal Korea Selatan, S2W.

Analisis Redaksi

Menurut pandangan redaksi, penggunaan GitHub sebagai infrastruktur C2 oleh peretas yang terkait DPRK menunjukkan tingkat kecanggihan dan adaptasi tinggi dalam teknik serangan siber. Dengan memanfaatkan platform yang sah dan dipercaya seperti GitHub, pelaku meminimalisir kecurigaan dan mampu bertahan lama di dalam sistem korban tanpa terdeteksi.

Kombinasi teknik phishing LNK, penggunaan alat Windows asli (PowerShell, VBScript, dan tugas terjadwal), serta penyembunyian komunikasi C2 di layanan cloud publik merupakan game-changer dalam dunia keamanan siber yang menuntut pendekatan pertahanan baru. Organisasi di Korea Selatan dan global harus meningkatkan kesadaran dan deteksi terhadap metode serangan yang semakin tersembunyi dan kompleks ini.

Ke depan, penting untuk terus memantau evolusi teknik serangan oleh kelompok DPRK, terutama Kimsuky dan ScarCruft, karena mereka terus berinovasi menggunakan teknologi dan platform populer untuk menyusup dan mencuri data sensitif. Strategi keamanan yang mengintegrasikan analisis perilaku dan pengawasan aktivitas di platform seperti GitHub perlu menjadi fokus utama.

Untuk informasi terbaru dan analisis mendalam lainnya, ikuti terus update kami di Google News, Twitter, dan LinkedIn.